根据《中华人民共和国数据安全法》和《中华人民共和国网络安全法》，企业因网络安全防护措施不到位导致用户信息泄露被行政处罚的情形较为常见。以下是相关法律依据及典型案例分析：

一、法律依据与处罚标准

1. 《数据安全法》第二十七条

要求企业建立全流程数据安全管理制度，采取技术措施（如加密、去标识化）保障数据安全。若未履行义务，依据第四十五条，可处警告、5万至50万元罚款，并对直接责任人处1万至10万元罚款；造成严重后果的，罚款可达50万至200万元，并可能责令停业整顿或吊销执照。

2. 《网络安全法》第二十一条

规定企业需履行网络安全等级保护义务，包括制定内部管理制度、采取防病毒和网络攻击措施等。未履行的，依据第五十九条，可责令改正并给予警告；拒不改正或导致危害的，处1万至10万元罚款，并对责任人处5000至5万元罚款。

二、典型案例参考

1. 湖南某电商平台数据泄露案（2023年）

某企业因服务器存在未授权访问漏洞且未落实等级保护制度，被公安机关处以5万元罚款，直接责任人罚款1万元。

2. 河南某机械公司网站被篡改案（2024年）

企业因未制定安全管理制度导致网站被篡改为平台，公安机关依据《网络安全法》第五十九条给予警告并责令整改。

3. 广州某驾培平台信息泄露案（2022年）

企业未对1070万条学员信息采取加密措施，被处以警告和5万元罚款，成为广东省首例适用《数据安全法》的案例。

三、行政处罚的具体内容

1. 基础处罚措施

2. 整改要求

公安机关通常会责令限期改正，要求企业完善安全管理制度、修补漏洞、开展员工培训等。

3. 刑事责任衔接

若泄露信息涉及国家核心数据或构成犯罪（如非法获取计算机信息系统数据），可能依据《刑法》第二百八十五条追究刑事责任，最高可处七年有期徒刑。

四、企业合规建议

1. 建立全流程安全制度

包括数据分类分级、定期漏洞扫描、日志留存（不少于6个月）等。

2. 技术防护措施

对敏感数据加密存储，防范未授权访问，避免弱口令和系统漏洞。

3. 应急响应机制

制定网络安全事件应急预案，发生泄露后需立即补救并报告主管部门。

若企业已受到行政处罚，需积极配合整改，及时消除风险，避免因拒不改正导致更高额罚款或业务暂停。对于涉及跨境数据或关键信息基础设施的企业，还需遵守《网络安全审查办法》等专项规定。