刘城 宋逸君
　　2025年5月，安徽省合肥市某电子商务公司旗下网站内的旅客购票信息被泄露。公安机关查明，由于该公司相关人员的网络和数据安全保护意识薄弱，未制定网络安全管理制度和个人信息保护制度，未采取技术防护措施，未及时处置系统漏洞风险，导致相关数据被犯罪嫌疑人获得。公安机关依法对该公司有关负责人予以行政处罚并责令限期改正。同时，犯罪嫌疑人依法另案处理。
　　铁路律师表示，网络和数据安全不仅涉及公民的个人权益，更关乎社会公共利益，也是国家公共安全的重要领域。网络运营者作为信息控制者，依法负有建立健全网络安全管理制度和个人信息保护制度的义务。根据《中华人民共和国网络安全法》（2025年修正）第二十三条规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏，防止网络数据泄露、被窃取或篡改。（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。”
　　该公司“未开展等级保护工作”“未采取技术防护措施”等行为直接违反了本条规定。网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。
　　铁路律师在此提醒：网络系统的安全稳定运行直接关系到国家经济大动脉的通畅、人民群众生命财产的安全乃至国家安全。铁路从业人员不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息，必须对在履行职责中知晓的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。根据集团公司网络数据安全管理办法第十四条规定：“集团公司实行数据全生命周期安全保护制度，各部门、各单位对所开展的数据处理活动承担安全主体责任。”
　　因此，各单位应建立健全网络安全监测预警和信息通报机制，将数据安全风险监测纳入网络安全风险监测预警体系，对数据异常访问和操作等内容进行安全监控和记录分析，及时发现数据安全风险隐患。同时，要强化对从业人员的网络安全宣传教育，共同筑牢网络安全屏障。（本栏目由企业管理和法律事务部协助组稿）