从某电子商务公司旅客购票信息泄露案看企业网络和数据安全保护义务

2025年9月18日，公安部网安局公布6起“护网—2025”专项工作中，涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。（公安部公布“护网—2025”专项工作6起行政执法典型案例）本期特邀请西南政法大学孙莹教授解读案例四“安徽公安机关侦办的某电子商务公司旅客购票信息泄露案”。

基本案情

2025年5月，安徽合肥某电子商务有限公司旗下网站内的旅客购票信息遭泄露。安徽公安机关网安部门查明，由于该公司网络和数据安全保护意识薄弱，未制定网络安全管理制度和个人信息保护制度，未开展等级保护工作，未按规定要求留存网络日志数据，未采取技术防护措施，未及时处置系统漏洞风险，导致相关数据被犯罪嫌疑人批量爬取。当地公安机关已依法对该公司予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

数字经济与社会治理的深度融合，使网络与数据安全的地位愈加凸显。它不仅涉及公民个人权益，更关乎社会公共利益，既是数字经济发展的基石，也是国家公共安全的重要领域。网络运营者作为信息控制者，依法负有建立健全网络安全管理制度和个人信息保护制度的积极义务。本案系一起因企业轻视数据安全义务而导致个人信息泄露的典型案件，公安机关依法查处具有深远的示范意义。

一是明确了信息控制者在网络与数据安全治理中的法律义务。《网络安全法》《数据安全法》《个人信息保护法》等法律法规对网络运营者履行安全保护义务作出明确规定，网络运营者应当落实等级保护制度、制定内部管理规范、采取必要技术措施、留存日志数据并及时处置安全漏洞等。本案中，涉案公司怠于履行这些法定义务，导致旅客信息被大规模爬取。这一案件再次警示，如果作为信息控制者的企业不积极履行法定义务，那么其信息系统便极有可能成为网络犯罪攻击的突破口，最终危害社会公共利益。

二是彰显了行政执法与刑事追责在网络与数据安全保护方面的衔接机制。公安机关网安部门在案件处理过程中，一方面追究企业在数据安全管理上的失职，依法对其作出行政处罚并责令限期整改；另一方面又对实施数据窃取的犯罪嫌疑人另案处理，依法追究其刑事责任。行政处罚和刑事追责双管齐下，既体现了网络安全治理中惩戒与预防的有机结合，也强化了网络安全治理的制度刚性，传递出对违法失责企业和数据犯罪行为“零容忍”的明确信号。

三是揭示了制度建设与技术防护并重对构建长效治理体系的现实意义。本案再次表明，信息控制者必须主动履行网络与数据安全保护义务，不能仅依赖于被动的技术防御，而应将制度建设、技术防护和风险处置作为一个有机整体，建立起全链条、全方面、常态化的网络与数据安全管理体系。唯有制度与技术双轮驱动，方能切实保障公民个人信息安全。本案的查处不仅回应了公众对个人信息保护的现实关切，也对未来企业合规管理形成了制度警示，从而推动了以“事前预防、主动保护、持续合规”为核心的数据安全治理模式不断完善。

本案深刻揭示了企业作为信息控制者所必须履行的积极义务，并通过行政执法与刑事司法的有机衔接，凝聚起数据安全治理的法治合力。其示范意义在于，敦促企业将网络安全管理制度与个人信息保护制度纳入日常治理核心环节，更加积极主动地从制度和技术层面切实保护网络与数据安全，从而为数字经济健康发展与国家网络安全战略实施提供坚实保障。

作者：孙莹 西南政法大学教授

声明：本文来自公安三所网络安全法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。