1、2022.12教育行业网络安全行政执法案例集奇安信行业安全研究中心总体情况概述综述每一起重大的网络安全事故的发生，都与政企机构的网络安全建设运维管理疏失密切相关，有的是安全责任意识淡薄导致，有的是等保落实不到位，有的是机构内鬼等，导致的信息泄露、网页被篡改、传播违法信息等。作为网络安全执法部门，公安机关每年会查处和通报大量网络安全信息事故。通过整理、分析和研究网络安全行政执法案例可以帮助各行业政企机构更好的对照查找自身问题，找到自己在安全建设运维管理中的疏失，进而促进自身实战化安全运营能力的提升。综述奇安信行业安全研究中心联合安全内参，针对2020年6月至2022年6月，媒体公开披露的与政企机

2、构相关的各行业千余起网络安全行政执法案例进行整理和分析，筛选出不同行业典型网络安全行政执法案件进行重点分析形成此份报告。报告涉及政府及事业单位、金融、医疗卫生、教育培训、互联网等几大行业，事件涉及数据的非法采集与盗卖、破坏系统运行、网页篡改、传播违法信息、非法使用企业资源等多种不同情况，对公众利益和政企机构利益都产生了极大的影响。教育行业综述从公安机关披露的涉及教育培训行业的网络安全行政执法典型案例信息来看，教育培训行业违反网络安全相关法律法规主要表现在以下几个方面：首先是机构或内部员工非法购买或贩卖个人信息，包括普通公民信息，也包括学生信息，造成巨大社会危害甚至构成犯罪。第二是没有应急预案，

3、网站被通报存在安全漏洞后，长期不修复，导致网站信息被犯罪分子窃取、篡改和恶意利用。第三是没有按照等保要求进行信息系统的备案和测评，或是没有按照网络安全法保存网络安全日志，导致违规被要求整改。此外，还有个别机构，滥用教育相关资源，构成“帮信罪。教育培训行业典型案例某教育机构非法购买学生个人信息案案件回顾：2021年10月，某市公安分局披露了一起非法获取、贩卖学生个人信息案。网安大队在侦办“刘某等人侵犯公民个人信息案”过程中，发现犯罪嫌疑人将非法获取的学生个人信息贩卖给某些教育培训机构，谋取非法利益。该市网安大队根据中华人民共和国网络安全法第四十四条公民个人信息保护的相关规定，对该培训学校有限公司

4、处以罚款30万元的行政处罚。法律链接：根据中华人民共和国网络安全法第四十四条，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。而根据第六十四条，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。违法/犯罪 主体内部人员违法/犯罪 性质机构违法所属行业教育培训影响范围公众利益关键词个人信息、非法获取触犯法条中华人民共和国网络安全法第四十四条、第六十四条机构责任非法获取个人信息涉及领域个人信息某培训机构非法购买个人信息被罚30万案

5、件回顾：2021年5月，自贡公安机关工作发现，辖区某培训机构负责人经公司同意后，以7000元的价格非法购买公民个人信息14000余条，后分发给公司工作人员，使用非法获取的公民个人信息开展招生工作，涉嫌非法获取个人信息。自贡公安机关根据中华人民共和国网络安全法第四十四条、六十四条之规定，对该公司作出罚款三十万元的行政处罚。法律链接：根据中华人民共和国网络安全法第四十四条，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。而根据第六十四条，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得

6、一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。违法/犯罪 主体政企机构违法/犯罪 性质机构违法所属行业教育培训影响范围公众利益关键词个人信息、非法获取触犯法条中华人民共和国网络安全法第四十四条、六十四条机构责任非法获取个人信息涉及领域个人信息某电教仪器站未履行网络安全保护义务案案件回顾：2021年3月，某地公安机关接到报案，受害者遭遇刷单诈骗被骗30999元。调查发现，某教育电教仪器网站因未及时处置系统漏洞，致网站长期被非法挂载大量诈骗、赌博、色情广告黑链，致使受害人点击造成现实危害。因该电教仪器网站存在不履行网络安全保护义务的行为，公安机关对该网站处以罚款1万元，并对该网站法人代