2025年5月，江苏苏州吴江发生了一起令人震惊的网络安全事件，某公司建设的短信群发系统被攻击冒用，竟发送出27000余条诈骗短信。这一事件瞬间引发了社会各界对网络安全的广泛关注。原来，江苏公安机关网安部门查明，相关短信群发平台未进行等保备案测评，也未采取技术防护措施，这才给了犯罪嫌疑人可乘之机，导致短信服务被冒用滥发。当地公安机关迅速行动，依法对该系统的建设运维方予以行政处罚并责令限期改正，犯罪嫌疑人也已被依法另案处理。

　　2025年9月18日，公安部网安局公布了6起“护网—2025”专项工作中涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例，这起江苏公安机关侦办的某短信平台未采取技术防护措施被网络攻击案便是其中之一。本期我们特邀请中国法学会法治研究所刘金瑞研究员来深入解读这起典型案例。

　　这起案件是一起典型的网络运营者因未履行网络安全保护义务而受到处罚的案件。依据《中华人民共和国网络安全法》第二十一条规定，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:这些义务涵盖制定内部安全管理制度和操作规程，采取防范计算机病毒、网络攻击和侵入等技术措施，以及监测、记录网络运行状态和安全事件的技术措施等。

　　然而，本案中的涉案企业作为短信群发系统的建设与运维方，却严重失职。一方面，未进行网络安全等级保护备案与测评；另一方面，未采取有效技术措施防范和处置网络攻击。这种不作为直接导致了严重后果，涉案短信群发系统被不法分子攻击控制，进而滥发27000余条诈骗短信，给社会秩序和公共利益带来了极大危害。

　　公安机关依据《中华人民共和国网络安全法》第五十九条的规定，对涉案企业予以行政处罚并责令限期改正，及时处置和消除了本案的网络安全风险。这一执法行为意义重大，不仅有利于贯彻实施网络安全等级保护制度，更能督促网络运营者切实承担起网络安全保护主体责任。

　　网络安全等级保护制度是《中华人民共和国网络安全法》确立的维护网络运行安全的基本法律制度，它由之前的信息安全等级保护制度升级而来。该制度要求按照重要性和遭受损坏后的危害性，将网络信息系统分成五个安全保护等级，进行分等级保护、分等级监管。第二级（含）以上网络要到公安机关备案，公安机关审核备案材料和定级准确性，合格后颁发备案证明；备案后，公安机关对第二级网络进行指导，对第三级、第四级网络定期开展监督检查。网络运营者则应按照相关规定，履行“定级——备案——建设整改——等级测评”等一系列义务。通过履行这些义务，网络运营者可以发现系统内部的安全隐患与不足，提升系统的安全防护能力，降低被网络攻击的风险。

　　但在实践中，部分企业存在诸多问题。有的出于成本考虑，有的因合规意识淡漠，甚至错误认为“小系统无需等保备案”，有意忽视网络安全等级保护制度的义务要求，本案就是典型例证。本案中的短信群发系统，从对社会秩序和公共利益的影响来看，至少达到了应该备案的二级网络标准。涉案企业本应在定级备案基础上，按照相关国家标准开展安全建设，采取必要的访问控制、安全审计、入侵防范等技术措施，但涉案企业却未进行等保备案测评，更未采取必要技术措施，最终导致系统被冒用滥发诈骗短信的安全事件。

　　【网信说法】

　　网络安全等级保护是“必选项”而非“可选项”，所有网络运营者都应按要求根据网络信息系统的重要程度匹配安全防护资源和技术措施。不能出于成本考虑只想事后补救、无视安全义务，这种侥幸心理与故意不作为，不仅会使自身系统面临安全隐患和风险，更可能构成违法行为，甚至成为网络犯罪的“帮凶”而受到法律制裁。网络经营者应当强化网络安全合规意识，将应尽义务内化为自身安全管理的制度和实践，实现从“被动合规”到“主动防御”的转变。广大网民在日常生活中也要提高网络安全意识，不轻易点击来源不明的短信链接，避免陷入诈骗陷阱。只有各方共同努力，才能筑牢网络安全防线，营造安全、健康、有序的网络环境。