【案情简介】

2023年10月，行政机关收到上级主管部门的函件，在系统核查过程中发现长沙某科技公司开发的产品存在SQL注入高危漏洞，2023年8月系统向该公司下发处置通知，但未收到反馈，要求进行调查处理。

【调查与处理】

收到上级主管部门来函后，行政执法人员对相关情况开展调查。经查明，某APP产品由长沙某科技公司开发，是一款用于实时在线变卖、文字转语音语音的语音包变更的手机APP产品，主要下载来源包括应用宝、小米等，下载量达到百万以上。因某APP产品未对用户输入数据的合理性进行判断，后期可能会造成运营者数据泄露、数据库被攻击的危害。据此，行政机关认为，长沙某科技公司在产品上架前未进行安全检查，没有定期开展网络漏洞扫描工作，违反了《中华人民共和国网络安全法》第二十二条第一款、《网络安全漏洞管理规定》第八条的规定。行政机关向长沙某科技公司依法下达《责令整改通知书》，要求立即改正违法行为。

【法律分析】

《中华人民共和国网络安全法》第二十二条第一款，网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。《中华人民共和国网络安全法》第六十条，违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：（一）设置恶意程序的；（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；（三）擅自终止为其产品、服务提供安全维护的。

《网络产品安全漏洞管理规定》第八条，网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证并完成修补。第十二条，网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚。

作为网络产品的提供者，负有网络安全保障义务。长沙某科技公司在收到系统平台处置通知后，未立即采取措施，及时对某APP产品的安全漏洞进行维护、修补，存在违反《中华人民共和国网络安全法》第二十二条第一款、《网络安全漏洞管理规定》第八条规定的情形。依据《中华人民共和国网络安全法》第六十条的规定，行政机关有权责令长沙某科技公司进行整改。

【典型意义】

SQL注入攻击是黑客对数据库进行攻击的常用手段之一，通过SQL注入攻击可以拿到网站数据库的访问权限，从而可以盗窃，修改和删除数据。网络产品、服务的提供者应当按照《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》的相关规定，履行好企业网络安全责任与义务，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。