安在盘点 | 2022国内网络安全典型执法及安全事件

1、多个团伙利用社保公积金系统漏洞，非法获取公民个人信息2300万条

2022年12月7日，四川南充市公安局顺庆区分局侦破一起公安部挂牌督办案件，抓获犯罪嫌疑人121人，查获公民个人信息2300余万条，发现国内多地各类信息系统平台漏洞300余个，收缴黑客工具12套。

2、夫妻俩贩卖寄递用户个人信息获利24万余元

男子利用从事寄递客服的便利条件，伙同妻子查询、出售大量寄递用户的个人信息牟利，非法获利24万余元，两人双双获刑。2022年11月23日，最高人民检察院发布检察机关落实“七号检察建议”典型案例，其中包括这起“江苏王某涛、董某婷侵犯公民个人信息案”。

3、涉及27个省份的特大系列侵犯公民个人信息案件，侦破！

2022年9月22日，鸡西市公安局侦破特大侵犯公民个人信息案件，共抓获犯罪嫌疑人322名，依法扣押涉案资金560余万元，扣押电脑78部，手机412部，涉案银行卡638张。

4、国家网信办集中查处一批侵犯个人信息权益的违法违规App

“超凡清理管家”等55款App存在强制索要非必要权限、未经单独同意向第三方共享精确位置信息、无隐私政策、超范围收集上传通讯录等问题，违反《个人信息保护法》等法律法规规定，性质恶劣，依法予以下架处置。

5、“爬虫”软件违规获取企业信息 9人因侵犯公民个人信息罪获刑

2022年7月26日,经江苏省扬州市邗江区检察院提起公诉,法院以侵犯公民个人信息罪判处张某、宋某等9人有期徒刑七个月至拘役四个月,缓刑七个月不等的刑期,各并处或单处罚金。

6、广东首例！涉“人脸识别”公民个人信息保护民事公益诉讼案宣判

2022年7月11日，越秀区检察院向互联网法院提起的涉人脸识别公民个人信息保护民事公益诉讼案公开宣判，郑某等4人已被法院认定犯侵犯公民个人信息罪，被判处有期徒刑一年二个月至一年不等，各并处罚金。

7、上海点名10家企业，涉及扫码点餐、人脸识别等非法收集个人信息

8、北京某科技公司利用爬虫技术窃取 2.1 亿条简历数据

2 月 8 日，北京某科技公司、王某某等人涉嫌侵犯公民个人信息罪，被告单位被判处罚金人民币 4000 万元，王某某被判处有期徒刑 7 年、罚金人民币 1000 万元。

1、天津人脸识别案居民胜诉

2021年8月2日至5日期间，顾某与兰州城关物业服务集团有限公司天津分公司诚基经贸中心项目部工作人员多次沟通，要求删除其人脸信息，但物业公司拒绝了顾某的要求。二审法院撤销一审判决，要求城关天津公司删除顾某人脸信息，并提供其他通行验证方式，赔偿合理费用6200元。

2、女子玩智能音响发现多名房客被拍

日前，羊女士（化名）在辽宁本溪一家民宿的房间里操作智能音箱时发现，智能音箱捕捉到六七段自己和朋友在房间走动的视频，设备内还存储了不少其他顾客的隐私视频。民宿内使用的智能音箱是百度旗下的小度智能屏产品。

3、北电学生借他人账号偷存私密照，触犯隐私权

2022年9月16日，有网友发文称，有人以制作软件需要用户测试为由，向自己借用百度账号，并擅自登录，浏览并下载了大量私密照片。

4、美驻华使领馆过度采集中方雇员信息

曾在美驻华使领馆工作的人士表示，美方涉嫌以“背调”为由强迫中方雇员提交个人、家庭甚至邻居的信息。据透露，其中除了几乎所有的亲属信息外，竟然还要提供一位邻居的信息，而且是必填项。

03

非法数据获取和买卖

1、台湾 2300 万人民信息泄露，黑客开价5000美元

联合新闻网披露，有黑客在国外论坛 “BreachForums”上出售 20 万条中国台湾省民众的个人资料，并声称拥有台湾省 2300 万民众的详细信息。

2、广州某犯罪分子搭建虚假网站、植入木马病毒牟利

广州网安部门侦破林某某等人涉嫌非法获取计算机信息系统数据案。一举抓获并刑拘嫌疑人59名，串并全国涉该团伙的电信诈骗案件800余宗。

3、“志愿者性骚扰隔离女生”涉及非法倒卖约20万条个人信息

2022年9月21日，贵阳市公安局以涉嫌寻衅滋事受案调查。调查中还发现谢某某自2018年至2022年，非法获取公民信息近20余万条，并获利近4万余元。

4、上海某公司向境外出售高铁数据

案件起于2020年年底，上海某信息科技公司接受了西方境外公司的委托项目，经调查发现，该公司向境外公司搜集、提供的数据涉及铁路GSM-R敏感信号，GSM-R是高铁移动通信专网，仅仅一个月采集的信号数据就已经达到了500个G。

1、河南一高校学信网信息泄露

2022年8月28日，校学生会学生干部参加社会实践活动时，应郑州泽梦企业管理咨询有限公司业务人员要求，擅自组织学生参与网上《信师宿舍满意度调查问卷》活动。经核实，确实存在部分学生学信码被盗用情况，造成学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

2、B站2.2亿余条用户ID、手机号疑被出售

2022年7月6日，一张在暗网叫卖2.2亿余条B站用户信息的截图在网上流传，泄露数据疑似包括用户账号（UID）和手机号，价格为0.5比特币或17.72以太币。

3、超星学习通被曝超 1.7 亿条用户隐私数据遭贩卖

2022年6月，据安全行业业界内消息，国内众多高校都在推荐学生使用的主流学习软件“超星学习通”被曝数据库信息泄露，其中包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱、密码等个人隐私，泄露数据高达 1 亿 7273 万条，且在境外平台被公开售卖。

4、丰田或泄露近30万客户信息

2022年10月7日，丰田汽车发现，296019名客户的电子邮件地址和客户编号可能已被泄露。不过，其他敏感个人信息如姓名、电话号码和信用卡信息等均未受到影响。

5、微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息

SOCRadar表示，微软将敏感信息与111个国家超过6.5万个实体关联在一起，覆盖2017年到2022年8月，该公司指出，分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。

6、蔚来汽车用户数据泄露，被勒索225万美元比特币

2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元（当前约1570.5万元人民币）等额比特币。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

1、公安部“百日行动”拦截诈骗电话2.8亿次、短信4亿条

公安部发起集群战役78次，国家反诈中心推送预警指令6546万条，预警准确率达79.9%，会同有关部门拦截诈骗电话2.8亿次、短信4亿条，封堵涉诈域名网址81.9万个，有力保护了人民群众的财产安全，实现立案数连续15个月同比下降。

2、搜狐员工遭大规模“工资补助”诈骗

搜狐员工的内部邮箱密码被盗，不法者冒充财务部发名为《5月份员工工资补助通知》的邮件给员工，多名员工遭遇邮件诈骗数万元。

3、网民在线答题助力冬奥被骗！网警已破案！

在“净网2022”专项行动中，江苏南通公安机关成功破获一起特大假冒冬奥知识传播活动诈骗案，抓获涉案人员19名，案值逾千万元，同时还查获该犯罪团伙非法获取到的350余万名大中专院校学生的个人信息数据。

4、上海警方开出《反电信网络诈骗法》实施后首张行政罚单

2022年12月18日，据上海市公安局介绍，近期，上海警方在一农宅内打掉1个为电信网络诈骗活动提供帮助的涉诈话务窝点，对3名涉案违法人员依据《中华人民共和国反电信网络诈骗法》有关规定，作出行政处罚决定。这也是该法正式施行后，上海开出的首张“反诈”行政罚单。

06

不履行信息网络安全管理义务

1、湖南网信部门开出数据安全领域行政执法罚单

该县自来水公司缴费系统因未采取相应防护措施履行数据安全保护义务，违反《湖南省网络安全和信息化条例》。该县自来水公司缴费系统因未采取相应防护措施履行数据安全保护义务，违反《湖南省网络安全和信息化条例》。

2、盘锦银行被罚140万元

2022年11月4日，据辽宁银保监局发布的89号行政处罚决定书显示，盘锦银行因存在监管要求落实严重不到位、敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等违法违规行为，被罚140万元。

3、泄露保险客户个人信息，平安人寿多人被罚2责任人被禁业10和3年

2022年11月3日，据中国银保监会贵州监管局发布的9号行政处罚决定书显示，中国平安人寿保险股份有限公司六盘水中心支公司因存在案防管理不到位，原职工利用职务便利泄露在业务活动中知悉的投保人、被保险人的个人信息等违法违规行为，被罚10万元。

4、成功出圈的羊了个羊，遇五大合规质疑

强迫大家看广告的游戏；有无游戏版号；有无防沉迷；是否涉嫌抄袭；使用背景音乐是否需要授权。

5、广州一公司未履行数据安全保护义务被警方处罚

2021年10月下旬，广州市某团伙通过技术手段非法破解“驾培平台”系统，对学员的学时进行修改，以达到帮助学员快速完成培训和驾校快速盈利的目的。2022年5月12日，广州警方开展收网行动，抓获包括技术开发和代理在内的3名犯罪嫌疑人。

6、网商银行被罚2236.5万

中国人民银行杭州中心支行网站于近日公布的行政处罚信息公示表（杭银处罚字〔2022〕1号-10号）显示，因浙江网商银行股份有限公司存在多项违规行为，中国人民银行杭州中心支行对其警告，并处罚款2236.5万元。

7、中国农业银行崇左分行因信息保护问题被罚超千万

因违规使用个人金融信息等，中国农业银行崇左分行（以下简称“农行崇左分行”）被罚约1142万元。据悉，农行崇左江州支行超范围使用千余学生信息，在未告知的情况下，私自开设了多个账户。

07

黑产犯罪案

1、某网络科技公司为数千非法网站提供域名防封技术

2021年，某网络科技公司将未变更的备案域名高价出售给他人搭建违法犯罪网站，还为违法犯罪人员提供“域名防封”服务。2022年3月，公安部对上述案件涉及域名黑产的犯罪线索发动全国集群战役，共侦破案件300起，抓获涉案人员630人。

2、大量中文网站被黑，嵌入世界杯关键词用于黑帽SEO

世界杯期间，黑帽 SEO 利用话题推广中文的赌博、体育彩票类网站。根据 PublicWWW 的数据，目前累积失陷的站点数量应该已经超过 5 万个。

3、中国医药卫生管理大学联盟等7家非法社会组织网站被关停

民政部、中央网信办、工业和信息化部依法关停了2022年第四批7家非法社会组织网站及相关新媒体账号，清除了有关关联网页。分别为中国营地教育联盟、中国医药卫生管理大学联盟、全国职业教育师资培训联盟、国家节能减碳产业创新联盟、中国监督网浙江象山办事处、中国煤矿创伤学会华北分会、全心犬意犬类领养中心。

4、QQ出现大规模盗号！自动群发低俗不雅内容，官方致歉

2022年6月27日消息，部分用户反映QQ号码被盗。对此，腾讯QQ官微回应称，QQ安全团队高度重视并立即展开调查，发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录，该登录行为被黑产团伙劫持并记录，随后被不法分子利用发送不良图片广告。

08

非法侵入计算机信息系统

1、程序员为泄愤离职后锁公司硬盘

广东佛山陈某原为南海一公司的技术人员，在对该公司有极大不满情绪后，陈某利用未移交的账号密码，远程登录原公司的系统服务器，启动加密程序锁上服务器硬盘，并将解密的钥匙删除。此举导致该公司硬盘无法解锁，业务系统全面瘫痪，造成较大经济损失。

2、女教师遭网课入侵直播

河南新郑网友发博称，其母是郑州新郑三中一名历史老师，近一段时间网课经常遭遇“网课入侵”，10月28日晚上网课时，再次有陌生网友闯入网课直播间进行辱骂、干扰课件投屏等，最终其母退出网课，两天后被发现在家身亡，死亡证明鉴定为猝死。

3、广州某犯罪分子破坏信息系统，严重扰乱民生秩序

广州网安部门破获安某等人提供入侵、非法控制计算机信息系统程序、工具案，抓获犯罪嫌疑人15名，捣毁犯罪团伙生产窝点2个，扣押涉案物品一大批。

4、广州某团伙非法篡改数据，破坏网络安全秩序

广州网安部门破获某团伙篡改数据代打车案。该犯罪团伙通过篡改网络数据包，修改打车目的地坐标和订单号，修改打车实际金额，从而绕过平台的预支付款机制。涉案金额百万元，抓获嫌疑人19名。

5、入侵北京三甲医院挂号系统，男子获利5000元被公诉

检方指控称，2020年至2021年间，陈某受人指使，编写、升级多个专门用于侵入北京三甲医院网络预约挂号信息系统的程序，非法获利5000元，陈某因涉嫌提供侵入计算机信息系统程序罪被公诉。

6、BlackMoon 僵尸网络在国内已感染数百万终端

2022年3 月份，国家互联网应急中心监控发现，BlackMoon 僵尸网络在互联网上大范围传播。通过跟踪和监测，1 月份其控制规模（按 IP 号计算）超过 100 万，每日肉鸡数 21 万。受影响的用户，按运营商，电信占 57.5%，联通占 22.9%，移动占 19.4%；按省份为，广东省 (12.7%)、河南省 (9.3%) 和江苏省 (7.6%)。

09

境内外黑客攻击事件

1、北京健康宝遭受境外网络攻击

2022年4月28日，北京健康宝使用高峰期遭受网络攻击，经初步分析，网络攻击源头来自境外，北京健康宝保障团队进行及时有效应对，受攻击期间，北京健康宝相关服务未受影响。

2、台湾虎航遭遇网络攻击

2022年7月22日，兴柜航运业台湾虎航在宣布遭受黑客网络攻击，但表示未造成营运重大影响。

3、台湾多家电视台及高校被黑客攻击

2022年8月7日晚间，有岛内网友发现，台湾大学教务处与研发处网页均被换为红色背景，配上了“世界上只有一个中国”的文字，网页中的各个链接与栏位也被作出类似替换。

4、某券商网络安全风险管理存在漏洞，OA系统遭受注入攻击

2022年10月13日，深圳证监局通报了一起证券公司网络安全风险管理不规范的风险案例，辖区某证券公司因网络安全风险管理存在漏洞，导致公司OA系统遭受注入攻击影响公司移动端OA办公。

5、黑客长期潜伏国内一外贸企业邮箱，骗走200余万美元货款

杭州钱塘一家外贸企业的电子邮箱遭不法分子入侵，导致企业险些被骗200余万美元货款。警方介入时，这笔货款仍在银行中转流程中，警方通过及时申诉支付冻结，将全部货款顺利追回。

6、温州一超市收银系统疑遭“黑客”入侵

2022年1月，温州一超市收银系统突然瘫痪，所有数据库和文件都无法正常打开，服务器遭到了比特币勒索病毒攻击。超市方面通过中介花了12000多元购买了0.042枚比特币向黑客支付了赎金。

7、上百个中国重要信息系统中发现 “验证器” 木马痕迹

2022年6 月 28 日，国家计算机病毒应急处理中心和 360 公司分别发布专题研究报告，同日披露美国国家安全局（NSA）所属的又一款网络攻击武器 “酸狐狸” 漏洞攻击武器平台。

8、澳门健康码曾遭来自欧美地区网络攻击，达300多万次

据环球时报2022年9月16日消息，澳门保安司司长黄少泽在一场修改《维护国家安全法》咨询会上透露，去年5月初澳门健康码连续两天遭受境外网络攻击，导致部分人无法转换粤康码，珠澳出入境大受影响，关口一度人流拥挤。

10

帮助信息网络犯罪活动

1、马某某涉嫌利用网络从事危害国家安全活动

2022年3月以来，马某某利用互联网专业特长，匿名创建网络群组，肆意歪曲捏造事实，极力传播各类谣言信息，发表所谓“独立宣言”，煽动分裂国家、煽动颠覆国家政权，充当境外敌对势力在我境内的代理人。

11

重大网络安全事件

1、80.26亿！“滴滴”让我们明白了什么道理？

2022年7月21日，根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查，最后对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

2、网络安全法迎来修改

本次修订均是对《网络安全法》第六章法律责任章节的修订，同时明确了责任类型，并完善了法规衔接协调。

3、西北工业大学遭网络攻击，源头系美国国家安全局

调查发现，美国国家安全局下属的“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。

4、畅捷通漏洞被勒索软件利用攻击国内企业

安全内参8月30日消息，国内多家安全厂商昨日发布预警，称8月28日起，国内某企业财务软件0day漏洞可能遭到大规模勒索利用，已出现多起使用该软件的企业勒索软件攻击案例（中毒终端超2000台，且不断上升。数据来源：火绒、360分别观测）。

5、上海中考窃题事件

2022年8月22日，上海市公安局浦东分局发布警情通报称，已对窃取中考试题的犯罪嫌疑人周某和非法获取中考试题的犯罪嫌疑人蔡某、孙某杰夫妇依法采取刑事强制措施。

12

各大网站、平台受罚情况

1、阿里巴巴代理谷爱凌商标被罚

处罚决定认为，阿里巴巴2019年6月、2020年2月分别为两申请人代理“谷爱凌”、“EILEEN GU”系列共4件商标，违反《商标法》第19条3款、32条的规定，警告并罚款8万元。

2、建行因信息安全等问题被罚50万

2022年7月28日，上海银保监局对建行上海市分行开出1张罚单。行政处罚信息显示，中国建设银行上海市分行因在2018年4月至2018年10月，存在信息安全和员工行为管理严重违反审慎经营规则，被责令改正，并被罚款50万元。

3、小米被意大利罚款2176万元

意大利竞争与市场监管机构7月8日通告称，该机构对小米科技意大利有限责任公司（Xiaomi Technology Italy S.r.l.）处以320万欧元罚款，折合约人民币2100万元，罚款原因是小米意大利公司阻碍了消费者的合法法律保障。

4、招商证券因网络安全事件被“双罚”！

中国证监会指出，招商证券在2022年5月16日的网络安全事件中，存在系统设计与升级变更未经充分论证和测试，升级回退方案不完备等问题。7月12日，又因存系统设计与升级变更未经充分论证和测试等问题，招商证券股份有限公司及3名责任人被中国证监会出具警示函。

5、工行收集与业务无关的消费者金融信息等，被罚618.7万元

中国人民银行长沙中心支行披露的行政处罚信息显示，工商银行湖南省分行存在九项违法行为，被警告并处91.8万元罚款。

6、全国首例算法推荐案：今日头条传播《延禧攻略》构成侵权

字节公司未经授权，在延剧热播期间，通过其运营的今日头条App利用信息流推荐技术，将用户上传的截取自延剧的短视频向公众传播并推荐，侵权播放量极高，侵害了爱奇艺公司对延剧享有的信息网络传播权，请求判令字节公司赔偿经济损失2921.6万元及维权开支78. 4万元。

7、小红书因未及时处置危害未成年人的信息被罚30万！

小红书关联公司行吟信息科技（上海）有限公司新增行政处罚信息，具体事由为发现用户发布、传播含有危害未成年人身心健康内容的信息，没有立即停止传输相关信息，采取删除、屏蔽、断开链接等处置，被罚30万元，处罚单位为上海市黄浦区文化和旅游局。

8、央行对东亚银行开出千万级罚单

2022年1月10日，中国人民银行上海分行公布了一张巨额罚单，罚单显示，东亚银行违反信用信息采集、提供、查询及相关管理规定。对于上述违法违规行为，中国人民银行上海分行对东亚银行处以罚款人民币1674万元，责令限期改正。

从2017年6月1日起施行的《网络安全法》，2021年9月1日起施行的《数据安全法》、《关键信息基础设施安全保护条例》，再到2021年11月1日起施行的《个人信息保护法》，2022年2月15日起施行《网络安全审查办法》，2022年9月1日起施行《数据出境安全评估办法》，每个法条和条例都像是悬在每个企业和个人头上的达摩克利斯之剑一样，国家对于网络安全体系化建设的积极意义是毋庸置疑的，针对拥有或产生或使用大量用户信息及其敏感信息的企业更是如此。

这些法律条例配套的司法解释和行政法规会不断的完善，作为企业应该有一种危机意识，站在从整个数据安全生命周期的角度来看，如果在审查中发现有数据泄露的违法行为，企业或个人将会面临被执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、应用商店下架、处理相关责任人等处置处罚措施。面对这些可能带来的危机，需要企业顺应政策要求，不断地转变思维，逐步将数据安全建设逐步落到实处，数据安全建设与业务长远发展要相互促进，让数据安全成为业务安全的有效保证。

对于个人也是一样，无论是安全事件带来的影响还是其带来的警告，都在警示我们每个人要遵纪守法，同时不可小觑接下去越来越复杂的网络环境和社会环境，势必将安全意识贯彻到底。这样，无论是对人还是对己，我们都可以筑起安全大门，不再让安全事件影响到我们的生活、社会和国家。