警方已累计依据《数据安全法》办理行政案件336起,履行数据安全保护义务不容忽视!
发布时间:2023.09.08
浏览数量:828人
从近日等级保护测评公众号获悉,《数据安全法》施行近两年来,警方严厉惩治不履行数据安全保护义务的违法行为,全面压紧压实网络运营单位数据安全主体责任,已累计依据《数据安全法》办理行政案件336起。
案例一:宿迁某医学检验机构 不履行数据安全保护义务案
近期,江苏宿迁公安网安部门对当地某医学检验机构检查时发现,该机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。 宿迁公安机关依据《数据安全法》第45条规定,对该机构予以行政警告并处罚款10万元。
案例二:成都某科技有限公司 不履行数据安全保护义务案
近期,江苏苏州公安网安部门工作发现,成都某科技有限公司在为苏州某信息科技股份有限公司相关系统运维过程中,未建立健全全流程数据安全管理制度,为图工作方便,私自将该公司30余万条运营数据上传至互联网,且未落实任何技术防护措施保障数据安全,未对其数据处理活动开展风险监测,可致该批数据泄露,涉嫌未履行数据安全保护义务。 苏州公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并处罚款5万元。
案例三:泰州某不动产登记中心和北京某科技发展研究中心 不履行数据安全保护义务案
近期,江苏泰州公安网安部门工作发现,当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞,且未建立健全全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的24万余条业务数据泄露,涉嫌未履行数据安全保护义务。 泰州公安机关依据《数据安全法》第45条规定,对该不动产登记中心予以行政警告并责令改正;对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
案例四:盐城某医药公司 不履行数据安全保护义务案
近期,江苏盐城公安网安部门在对当地某医药公司检查时发现,该公司医疗健康信息的会员管理系统存有大量公民个人信息,经现场检测发现该系统存在网络安全漏洞,且该公司未建立数据安全管理制度,未组织开展数据安全教育培训,也未采取相应技术措施保障数据安全,涉嫌未履行数据安全保护义务。 盐城公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。
案例五:南通某科技有限公司 不履行数据安全保护义务案
近期,江苏南通公安网安部门对当地某科技有限公司检查时发现,该公司对包含生产工艺流程、操作手册、员工个人信息等数据的MySQL数据库(数据量达百万条),未建立数据安全管理制度,也未采取相应技术措施保障数据安全,并且存在使用“弱口令”即可登录平台、访问数据的情况,涉嫌未履行数据安全保护义务。 南通公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。来源:等级保护测评
基于以上案例,我们总结了主要的数据安全履责风险:
1)未履行网络安全等级保护制度要求进行信息系统备案和测评;
2)未履行数据安全义务,建立基本数据安全能力,例如加密、脱敏、访问控制、定期风险评估等;
3)未建立相关组织架构,无专人负责;
4)未在企业内建立相关管理制度;
5)为对企业内部进行定期专项培训教育;
6)对数据泄露事件未进行有效管控,实现应急响应措施。
就目前形势而言,将会有越来越多的企业会因为数据泄露、数据安全管理制度不健全而被监管机构监督检查。因此,各企业单位应积极响应政策号召,基于《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》这三法一例进行数据安全现状摸排、查漏补缺,至关重要、势在必行。
