近日,山东青岛公安网安部门在日常检查中发现,某公共服务平台长期存在SQL注入漏洞和越权访问漏洞,这些安全隐患可能导致大量用户数据面临泄露风险。
调查显示,负责该系统运维的某科技公司未履行网络数据安全保护义务,未能及时采取技术措施修复漏洞。青岛崂山网安部门依据《网络数据安全管理条例》对该企业作出行政处罚。
一纸罚单背后的安全责任
这起案件直指网络数据安全管理的核心问题——运维方的安全责任落实。
涉事科技公司在为某机构提供系统运维服务时,对已知的安全漏洞置之不理,导致平台长期暴露在数据泄露风险中。
SQL注入和越权访问漏洞绝非小问题。一旦被恶意利用,攻击者可以轻易突破系统防线,窃取用户信息、篡改关键数据,对个人隐私和公共安全造成严重威胁。
法律利剑已然出鞘
本案的执法依据——2025年1月1日正式实施的《网络数据安全管理条例》——为网络数据安全划定了明确的法律红线。
条例第十六条规定,为公共服务提供技术服务的公司必须“依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务”。
这意味着,技术运维单位与平台运营单位同样对系统安全负有直接责任。类似的执法案例在全国已不鲜见——福建漳州市某公司就曾因交付带有漏洞的系统而被依法查处。
监管态势持续收紧
我国的网络安全监管正呈现日趋严格的态势。
2025年10月,新修改的《中华人民共和国网络安全法》不仅将总体国家安全观写入总则,还新增了人工智能治理条款,同时对关键信息基础设施运营者的违法行为大幅提高了处罚标准,最高罚款可达一千万元。
这些变化传递出明确信号:国家对网络安全违法行为持“零容忍”态度。
从单点防护到全局安全
《网络数据安全管理条例》的创新之一在于引入了 “供应链网络数据安全” 概念,将安全关注点从单个企业扩展到整个产业链。
条例对国家机关、关键信息基础设施运营者的供应链安全提出了新要求,这意味着为这些关键单位提供技术服务的厂商将面临更严格的安全标准和法律监管。
漏洞修复不再是可选项
及时修复安全漏洞已不再是技术建议,而是法定义务。
根据《网络数据安全管理条例》第十条,网络数据处理者发现安全漏洞时,应立即采取补救措施并按规定报告。涉及国家安全和公共利益的,必须在24小时内报告。
数据触目惊心:2024年全球因未打补丁导致的数据泄露事故中,83%源于已知漏洞未修复。这一数字凸显了及时漏洞管理的重要性。
软件交付不意味着服务终结,而是持续安全责任的开始。在数字化浪潮下,网络安全是一场没有终点的马拉松。
从《网络安全法》的修订到《网络数据安全管理条例》的实施,我国正通过完善法律法规,为数字中国建设筑牢安全基石。
对于每一位网络服务提供者而言,这既是紧箍咒,也是护身符——唯有将安全融入日常,方能行稳致远。
