本文来自微信公众号“安全学习那些事儿”。
2023年9月6月,据公安部网安局报道:《数据安全法》施行近两年来,江苏公安机关网安部门聚焦信息数据泄露、滥用、篡改等行业领域问题乱象,加大监督检查、通报预警和行政执法力度。警方严厉惩治不履行数据安全保护义务的违法行为,全面压紧压实网络运营单位数据安全主体责任,已累计依据《数据安全法》办理行政案件336起。
案例一:宿迁某医学检验机构不履行数据安全保护义务案
近期,江苏宿迁公安网安部门对当地某医学检验机构检查时发现,该机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。宿迁公安机关依据《数据安全法》第45条规定,对该机构予以行政警告并处罚款10万元。
案例二:成都某科技有限公司不履行数据安全保护义务案
近期,江苏苏州公安网安部门工作发现,成都某科技有限公司在为苏州某信息科技股份有限公司相关系统运维过程中,未建立健全全流程数据安全管理制度,为图工作方便,私自将该公司30余万条运营数据上传至互联网,且未落实任何技术防护措施保障数据安全,未对其数据处理活动开展风险监测,可致该批数据泄露,涉嫌未履行数据安全保护义务。苏州公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并处罚款5万元。
案例三:泰州某不动产登记中心和北京某科技发展研究中心不履行数据安全保护义务案
近期,江苏泰州公安网安部门工作发现,当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞,且未建立健全全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的24万余条业务数据泄露,涉嫌未履行数据安全保护义务。泰州公安机关依据《数据安全法》第45条规定,对该不动产登记中心予以行政警告并责令改正;对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
案例四:盐城某医药公司不履行数据安全保护义务案
近期,江苏盐城公安网安部门在对当地某医药公司检查时发现,该公司医疗健康信息的会员管理系统存有大量公民个人信息,经现场检测发现该系统存在网络安全漏洞,且该公司未建立数据安全管理制度,未组织开展数据安全教育培训,也未采取相应技术措施保障数据安全,涉嫌未履行数据安全保护义务。盐城公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。
案例五:南通某科技有限公司不履行数据安全保护义务案
近期,江苏南通公安网安部门对当地某科技有限公司检查时发现,该公司对包含生产工艺流程、操作手册、员工个人信息等数据的MySQL数据库(数据量达百万条),未建立数据安全管理制度,也未采取相应技术措施保障数据安全,并且存在使用“弱口令”即可登录平台、访问数据的情况,涉嫌未履行数据安全保护义务。南通公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。
网警提醒:医疗、金融、不动产等行业领域重要数据一旦泄露,将会对公共利益、经济运行、个人权益造成重大危害,甚至会影响国家安全和社会稳定。《数据安全法》作为我国首部数据安全领域的基础性立法,以总体国家安全观为立法目标,聚焦数据安全领域的突出问题,建立了数据分级分类、重要数据保护、安全风险评估、监测预警、应急处置、交易管理等基本制度,并明确了相关责任主体的安全保护义务。
公安机关将继续紧盯数据安全领域最新动态,加强风险监测、监督检查和行政执法,不断规范各类数据处理活动,完善数据防护技术措施,筑牢数据安全屏障体系,为数字经济发展保驾护航。