2025年5月，安徽合肥某电子商务有限公司旗下网站出现旅客购票信息泄露事件，这一事件犹如一颗投入平静湖面的石子，在网络和数据安全领域激起层层涟漪。2025年9月18日，公安部网安局公布6起“护网—2025”专项工作中涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例，本期特邀请西南政法大学孙莹教授解读的案例四“安徽公安机关侦办的某电子商务公司旅客购票信息泄露案”便是其中之一。

　　安徽公安机关网安部门迅速介入调查，查明了事件原委。原来，该公司网络和数据安全保护意识极为薄弱，在网络安全管理方面存在诸多漏洞。未制定网络安全管理制度和个人信息保护制度，使得内部管理缺乏规范指引；未开展等级保护工作，无法对网络安全风险进行有效分级管控；未按规定要求留存网络日志数据，导致在出现问题时难以追溯和排查；未采取技术防护措施，让信息系统暴露在潜在威胁之下；未及时处置系统漏洞风险，为犯罪分子提供了可乘之机。最终，犯罪嫌疑人利用这些漏洞，批量爬取了相关数据，造成旅客购票信息泄露。当地公安机关依据相关法律法规，依法对该公司予以行政处罚并责令限期改正，犯罪嫌疑人则依法另案处理。

　　此次旅客购票信息泄露事件，后果不容小觑。对于旅客而言，个人信息泄露可能导致其面临诈骗、骚扰等一系列风险，个人隐私和财产安全受到严重威胁。从社会层面来看，这不仅损害了公众对电子商务行业的信任，也不利于数字经济的健康发展。数字经济与社会治理深度融合的当下，网络与数据安全地位愈发重要，它不仅关乎公民个人权益，更与社会公共利益紧密相连，是数字经济发展的基石和国家公共安全的重要领域。

　　这起案件是一起因企业轻视数据安全义务而导致个人信息泄露的典型案件，公安机关依法查处具有深远的示范意义。一方面，明确了信息控制者在网络与数据安全治理中的法律义务。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规对网络运营者履行安全保护义务作出明确规定：网络运营者应当落实等级保护制度、制定内部管理规范、采取必要技术措施、留存日志数据并及时处置安全漏洞等。涉案公司怠于履行这些法定义务，导致旅客信息被大规模爬取，这一案件再次警示，企业若不积极履行法定义务，其信息系统极有可能成为网络犯罪攻击的突破口，最终危害社会公共利益。另一方面，彰显了行政执法与刑事追责在网络与数据安全保护方面的衔接机制。公安机关网安部门在案件处理过程中，既追究企业在数据安全管理上的失职，依法对其作出行政处罚并责令限期整改，又对实施数据窃取的犯罪嫌疑人另案处理，依法追究其刑事责任。行政处罚和刑事追责双管齐下，既体现了网络安全治理中惩戒与预防的有机结合，也强化了网络安全治理的制度刚性，传递出对违法失责企业和数据犯罪行为“零容忍”的明确信号。此外，还揭示了制度建设与技术防护并重对构建长效治理体系的现实意义。信息控制者必须主动履行网络与数据安全保护义务，不能仅依赖被动技术防御，而应将制度建设、技术防护和风险处置作为一个有机整体，建立起全链条、全方位、常态化的网络与数据安全管理体系。唯有制度与技术双轮驱动，方能切实保障公民个人信息安全。

　　【网信说法】

　　这起案件为众多企业敲响了警钟。在数字经济蓬勃发展的今天，企业作为信息控制者，肩负着保障网络与数据安全的重大责任。网络和数据安全不是一句空洞的口号，而是需要企业切实落实到日常管理的每一个环节。企业要建立健全网络安全管理制度和个人信息保护制度，将制度建设作为安全防护的基础，明确各部门的职责和操作规范，确保各项工作有章可循。同时，不能忽视技术防护的重要性，要投入必要的资源，采用先进的技术手段，对信息系统进行实时监控和防护，及时发现和处置安全漏洞。此外，企业还应加强员工的安全意识培训，提高员工对网络安全和数据保护的重视程度，形成全员参与、共同维护安全的良好氛围。

　　网信部门在此呼吁广大企业，要高度重视网络与数据安全，将网络安全管理制度与个人信息保护制度纳入日常治理核心环节，积极主动地从制度和技术层面切实保护网络与数据安全。只有这样，才能为数字经济健康发展与国家网络安全战略实施提供坚实保障，共同营造一个安全、可信的网络环境。