近期,鄭州市網(wǎng)信辦工作中發(fā)現(xiàn),我市兩家公司未履行網(wǎng)絡(luò)安全保護(hù)義務(wù),未采取必要的安全防護(hù),導(dǎo)致大量敏感數(shù)據(jù)被竊取。鄭州市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》分別對(duì)兩家公司作出責(zé)令改正,給予警告,并處人民幣5萬元罰款的行政處罰。現(xiàn)向社會(huì)公開通報(bào)2起典型案例如下:
案例一:經(jīng)調(diào)查核實(shí),我市某互聯(lián)網(wǎng)信息服務(wù)有限公司在數(shù)據(jù)庫中配置增加了遠(yuǎn)程登錄空口令賬戶,導(dǎo)致黑客利用該空口令賬戶成功登錄數(shù)據(jù)庫,并竊取了數(shù)據(jù)庫中的數(shù)據(jù),被竊取的數(shù)據(jù)包含姓名、身份證號(hào)、手機(jī)號(hào)、郵箱地址等敏感信息。該公司在網(wǎng)絡(luò)安全意識(shí)方面淡薄,未建立健全全流程數(shù)據(jù)安全管理制度,未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全,造成部分敏感數(shù)據(jù)泄露。針對(duì)以上違法情況,鄭州市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條,對(duì)該互聯(lián)網(wǎng)信息服務(wù)公司作出責(zé)令改正,給予警告,并處人民幣5萬元罰款的行政處罰。 案例二:經(jīng)調(diào)查核實(shí),我市某科技有限公司缺乏網(wǎng)絡(luò)安全意識(shí),沒有正確配置數(shù)據(jù)庫,導(dǎo)致數(shù)據(jù)庫存在未授權(quán)訪問漏洞。攻擊者通過漏洞登錄數(shù)據(jù)庫,查看、下載數(shù)據(jù),導(dǎo)致敏感數(shù)據(jù)泄露。該公司系統(tǒng)訪問日志功能未開啟、重要的通聯(lián)日志留存不足六個(gè)月,數(shù)據(jù)庫系統(tǒng)配置不當(dāng),存在未授權(quán)訪問漏洞,在網(wǎng)絡(luò)安全管理方面存在缺失,未能按照《數(shù)據(jù)安全法》要求對(duì)企業(yè)重要數(shù)據(jù)進(jìn)行分級(jí)分類管理,系統(tǒng)日志存儲(chǔ)時(shí)未對(duì)用戶個(gè)人敏感信息進(jìn)行脫敏處理,存在安全風(fēng)險(xiǎn)。針對(duì)以上違法情況,鄭州市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條,對(duì)該科技公司作出責(zé)令改正,給予警告,并處人民幣5萬元罰款的行政處罰。 鄭州市網(wǎng)信辦相關(guān)負(fù)責(zé)人強(qiáng)調(diào),數(shù)據(jù)安全關(guān)乎人民群眾切身利益,關(guān)乎國(guó)家安全和社會(huì)穩(wěn)定。開展數(shù)據(jù)處理活動(dòng)的企業(yè)和個(gè)人,應(yīng)當(dāng)依法完善相關(guān)制度,采取相應(yīng)措施,保障數(shù)據(jù)安全。發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)事件時(shí),企業(yè)應(yīng)當(dāng)立即采取補(bǔ)救措施,并按照規(guī)定及時(shí)向網(wǎng)信部門報(bào)告。 下一步,鄭州市網(wǎng)信辦將切實(shí)貫徹落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)要求,持續(xù)加強(qiáng)網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)工作,督促企業(yè)切實(shí)履行好主體責(zé)任。鄭州市網(wǎng)信辦將針對(duì)數(shù)據(jù)安全保護(hù)義務(wù)履行不力,造成重要數(shù)據(jù)泄露風(fēng)險(xiǎn)的違法違規(guī)行為加強(qiáng)監(jiān)督檢查和執(zhí)法,進(jìn)一步營(yíng)造安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。 法律鏈接 《中華人民共和國(guó)數(shù)據(jù)安全法》第二十七條:開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,履行上述數(shù)據(jù)安全保護(hù)義務(wù)。 《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條規(guī)定:開展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄露等嚴(yán)重后果的,處五十萬元以上二百萬元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。 編輯:譚敏 ( 編輯:tln ) |
兩家公司違反《數(shù)據(jù)安全法》被鄭州市網(wǎng)信辦行政處罰
來源: 發(fā)布日期:2024-10-24 打印