信息來源：百度

全市各有關單位：

現將淮南職業(yè)技術學院未落實網絡安全等級保護制度導致招生信息系統泄露學生身份信息案件調查及處理情況通報如下：

一、 案件基本情況

9月28日下午，市網絡與信息安全信息通報中心（市公安局網安支隊）接到國家網絡與信息安全信息通報中心通報：淮南職業(yè)技術學院系統存在高危漏洞，系統存儲的4000余名學生身份信息已經造成泄露。

接到通報后，市公安局網安支隊立即組織警力攜帶專業(yè)技術工具前往淮南職業(yè)技術學院網絡中心機房開展現場調查和勘驗取證工作，并依法對網絡中心系統管理員和操作維護人員進行詢問。經過現場勘驗和調查，確認淮南職業(yè)技術學院招生信息管理系統存在越權漏洞，后臺登錄密碼弱口令，學院未落實網絡安全管理制度，未建立網絡安全防護技術措施、網絡日志留存少于六個月，未采取數據分類、重要數據備份和加密措施，致使系統存儲的4353名學生的身份信息泄露。

二、 處理情況

根據現場勘驗和調查取證工作情況，市公安局網安支隊依法傳喚學院分管網絡信息安全工作的院長和網絡中心主任及相關工作人員進行調查，確認該學校因未落實網絡安全等級保護制度造成數據泄露，依法對淮南職業(yè)技術學院處以立即整改和行政警告的處罰措施。對泄露的學生身份信息流向，市公安局正在依法調查中。

三、 工作要求和相關法律條文

請各單位接到通報后，嚴格按照以下法律要求，認真落實網絡安全等級保護制度，履行網絡安全保護義務，保障網絡安全。

1、《網絡安全法》第二十一條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務。

第五十九條：網絡運營者不履行本法第二十一條、第二十五條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

2、《刑法》第二百八十六條：不履行信息網絡安全管理義務罪。造成違法信息大量傳播、用戶信息泄漏，造成嚴重后果的。處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

3、《中華人民共和國反恐怖主義法》第八十四條：電信業(yè)務經營者、互聯網服務提供者有下列情形之一的，由主管部門處二十萬元以上五十萬元以下罰款，并對其直接負責的主管人員和其他直接責任人員處十萬元以下罰款；情節(jié)嚴重的，處五十萬元以上罰款，并對其直接負責的主管人員和其他直接責任人員，處十萬元以上五十萬元以下罰款，可以由公安機關對其直接負責的主管人員和其他直接責任人員，處五日以上十五日以下拘留：（一）未依照規(guī)定為公安機關、國家安全機關依法進行防范、調查恐怖活動提供技術接口和解密等技術支持和協助的；（二）未按照主管部門的要求，停止傳輸、刪除含有恐怖主義、極端主義內容的信息，保存相關記錄，關閉相關網站或者關停相關服務的；（三）未落實網絡安全、信息內容監(jiān)督制度和安全技術防范措施，造成含有恐怖主義、極端主義內容的信息傳播，情節(jié)嚴重的。

報：中共淮南市委網信辦、安徽省網絡和信息安全信息通報中心

發(fā)：淮南市網絡和信息安全信息通報中心成員單位