帝恩思DNS.COM,DNS综合服务提供商

不履行数据安全保护义务,企业被罚!

最近更新时间:2023-11-02 15:17:42

近日,北京市网信办依据《中华人民共和国数据安全法》对属地三家企业(未点名),涉嫌存在网络数据安全违法行为进行立案调查并作出行政处罚。

经查实,三家企业违反《中华人民共和国数据安全法》第二十七条规定,未履行数据安全保护义务,部署的ElasticSearch数据库存在未授权访问漏洞,造成部分数据泄露。北京市网信办依据《中华人民共和国数据安全法》第四十五条第一款规定,对三家企业分别作出责令改正,给予警告,并处5万元罚款的行政处罚,对直接主管人员和其他责任人员处以1万元罚款处罚。

不履行数据安全保护义务,被罚的案例不仅仅是上述案例。

近期,某医学检验机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。公安机关依据《数据安全法》第45条规定,对该机构予以行政警告并处罚款10万元。

成都某科技有限公司在为苏州某信息科技股份有限公司相关系统运维过程中,未建立健全全流程数据安全管理制度,为图工作方便,私自将该公司30余万条运营数据上传至互联网,且未落实任何技术防护措施保障数据安全,未对其数据处理活动开展风险监测,可致该批数据泄露,涉嫌未履行数据安全保护义务。公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并处罚款5万元。

江苏盐城某医药公司,该公司医疗健康信息的会员管理系统存有大量公民个人信息,公安机关经现场检测发现该系统存在网络安全漏洞,且该公司未建立数据安全管理制度,未组织开展数据安全教育培训,也未采取相应技术措施保障数据安全,涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定,公安机关对该公司予以行政警告并责令限期改正。

医疗、金融、不动产等行业领域重要数据一旦泄露,将会对公共利益、经济运行、个人权益造成重大危害,甚至会影响国家安全和社会稳定。

《数据安全法》作为我国首部数据安全领域的基础性立法,以总体国家安全观为立法目标,聚焦数据安全领域的突出问题,建立了数据分级分类、重要数据保护、安全风险评估、监测预警、应急处置、交易管理等基本制度,并明确了相关责任主体的安全保护义务。

2023年数据安全处罚事件逐年升高,呈爆发式增长,互联网行业是发生数据安全处罚事件的重灾区。未建立相应技术措施和管理制度为主要原因,涉及问题主要有以下几种:1.未对敏感数据采取去标识化和加密措施等技术保护措施,导致数据泄露或存在数据泄露风险。2.对已有漏洞不修复不管理,已经遭受攻击或被植入暗链、木马等。3.发生数据安全事件后不处置。4.数据处理者未遵守数据交易安全的规定,擅自向境外提供重要数据。

目前数据安全在我国仍面临较大的挑战,各企业和个人的数据安全意识不足,造成数据安全保护技术和管理上都有漏洞。网络运营者应当按照网络安全等级保护制度的要求,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

采取SSL证书HTTPS加密措施,防止网站、WEB应用、APP等数据在传输过程中被窃取、篡改、确保数据完整性;防止数据被劫持、网页被植入广告现象。

各企业和个人必须继续紧盯数据安全领域最新动态,加强风险监测、监督检查,不断规范各类数据处理活动,完善数据防护技术措施,筑牢数据安全屏障体系,为数字经济发展保驾护航。