2025年9月18日,公安部网安局公布6起“护网—2025”专项工作中,涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。(公安部公布“护网—2025”专项工作6起行政执法典型案例)本期特邀请北京理工大学法学院洪延青教授解读案例五“云南公安机关侦办的某科技公司APP数据泄露案”。
基本案情
2025年4月,云南公安机关网安部门集中开展侵犯公民个人信息打击整治工作,打掉一批侵犯公民信息的犯罪团伙,查明部分公民个人信息数据泄露源头为云南某科技有限公司开发的“通讯录”APP。经查,该公司因内部管理混乱,缺乏用户身份信息核对机制,对公民信息数据未尽到保护责任,保护措施不力,导致大量公民个人信息泄露,被犯罪嫌疑人非法获取并贩卖。当地公安机关已依法对该公司和实际负责人予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
本案中,云南某科技公司开发的“通讯录”APP因内部管理混乱、缺乏身份核验机制,导致大量个人信息泄露并被犯罪团伙非法贩卖,形成了典型的个人信息泄露风险链条。这一风险链条具体表现为:
首先是治理失序,即内部管理制度缺位,未建立明确的数据安全与个人信息保护管理体系,导致人员职责与流程不清晰。其次是身份与权限失管,未对用户身份进行有效核验,导致个人信息访问控制失效,存在越权访问风险。再次是技术控制失效,未采取必要的技术措施,如加密存储、访问控制、日志审计等,致使信息安全防线薄弱,难以抵御非法访问和数据窃取行为。最后是事件响应失灵,未及时发现数据泄露风险,也未采取有效的补救措施阻断个人信息的进一步外泄。这不仅是单个企业合规体系的失败,更揭示了制度建设、人员管理、技术防护与事件响应等多环节共同失范的问题。
《网络安全法》第四十二条第二款、《数据安全法》第二十七条和《个人信息保护法》第五十一条等共同构成了我国个人信息安全保护的法律基础。从整体来看,这三部法律明确了数据处理者应承担以下核心的安全保护义务:一是建立管理制度义务。要求建立健全个人信息安全保护的内部管理制度,明确个人信息安全职责分工与操作规范,确保数据处理活动的有序管理与规范运行。二是采取技术保护措施义务。强调企业必须采取与个人信息风险相匹配的技术防护措施,包括但不限于数据的加密存储、去标识化处理、访问权限控制等,以保障数据在采集、传输、存储和使用全生命周期内的安全性。三是开展人员管理与培训义务。强调企业需定期开展安全教育与培训,提高员工安全意识与个人信息保护技能,防止因人为因素导致信息泄露风险的发生。四是应急响应义务。法律要求数据处理者制定并实施个人信息安全事件应急预案,确保在出现数据泄露或安全风险时能够迅速响应、及时阻断、妥善处置,并履行相应的告知与报告义务,避免个人信息风险的进一步扩大。以上法律义务体现了个人信息保护的全流程、全方位和立体化要求,明确了数据处理者必须同时关注制度建设、技术防护、人员教育和事件响应等多个维度,形成个人信息安全保护的完整闭环。
针对本案暴露出的严重合规问题,企业与相关数据处理主体应重点关注以下几个方面,全面提升个人信息保护能力:一是构建全流程管理制度。企业应根据数据处理特点,制定清晰的个人信息保护管理制度,明确数据采集、存储、访问、共享、销毁等环节的职责分工、权限设置和操作规程,做到“职责明确、有章可循”。
二是加强身份核验与权限控制。针对敏感个人信息,特别是通讯录、联系方式等高风险数据,应采取严格的身份认证措施,落实“最小权限”原则,防止未经授权的访问与滥用,防范越权访问风险。
三是提升技术安全防护能力。应全面落实加密存储和传输、去标识化处理、日志审计与安全监测等技术措施,定期开展系统漏洞扫描与补丁修复,实施安全基线管理,切实提高抵御网络攻击和数据泄露的能力。
四是常态化安全培训与意识提升。定期组织全员安全培训与演练,增强员工个人信息保护意识与能力,避免因人员管理松散而导致的安全漏洞,形成企业内部的安全文化氛围。
五是健全应急响应机制。建立个人信息安全事件快速响应和处置机制,制定明确的应急预案与演练方案,一旦发现数据泄露风险,能做到迅速阻断、妥善处置,并依法及时向用户和主管部门报告,最大限度减少损害后果。
总而言之,本案充分暴露出在个人信息保护领域,制度建设、技术防控、人员管理、事件响应等各个环节缺一不可。企业需从多维度系统性地履行法律义务,才能有效防范数据泄露风险,维护个人信息安全,避免面临法律责任的追究。
作者:洪延青 北京理工大学法学院教授
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
