兩家公司違反《數據安全法》被鄭州市網信辦行政處罰

近期,鄭州市網信辦工作中發現,我市兩家公司未履行網絡安全保護義務,未採取必要的安全防護,導致大量敏感數據被竊取。鄭州市網信辦依據《數據安全法》分別對兩家公司作出責令改正,給予警告,並處人民幣5萬元罰款的行政處罰。現向社會公開通報2起典型案例如下:

案例一:經調查覈實,我市某互聯網信息服務有限公司在數據庫中配置增加了遠程登錄空口令賬戶,導致黑客利用該空口令賬戶成功登錄數據庫,並竊取了數據庫中的數據,被竊取的數據包含姓名、身份證號、手機號、郵箱地址等敏感信息。該公司在網絡安全意識方面淡薄,未建立健全全流程數據安全管理制度,未採取相應的技術措施和其他必要措施保障數據安全,造成部分敏感數據泄露。針對以上違法情況,鄭州市網信辦依據《數據安全法》第二十七條、第四十五條,對該互聯網信息服務公司作出責令改正,給予警告,並處人民幣5萬元罰款的行政處罰。

案例二:經調查覈實,我市某科技有限公司缺乏網絡安全意識,沒有正確配置數據庫,導致數據庫存在未授權訪問漏洞。攻擊者通過漏洞登錄數據庫,查看、下載數據,導致敏感數據泄露。該公司系統訪問日誌功能未開啓、重要的通聯日誌留存不足六個月,數據庫系統配置不當,存在未授權訪問漏洞,在網絡安全管理方面存在缺失,未能按照《數據安全法》要求對企業重要數據進行分級分類管理,系統日誌存儲時未對用戶個人敏感信息進行脫敏處理,存在安全風險。針對以上違法情況,鄭州市網信辦依據《數據安全法》第二十七條、第四十五條,對該科技公司作出責令改正,給予警告,並處人民幣5萬元罰款的行政處罰。鄭州市網信辦相關負責人強調,數據安全關乎人民羣衆切身利益,關乎國家安全和社會穩定。開展數據處理活動的企業和個人,應當依法完善相關制度,採取相應措施,保障數據安全。發現數據安全缺陷、漏洞等風險事件時,企業應當立即採取補救措施,並按照規定及時向網信部門報告。下一步,鄭州市網信辦將切實貫徹落實《網絡安全法》《數據安全法》《個人信息保護法》等法律法規要求,持續加強網絡安全、數據安全和個人信息保護工作,督促企業切實履行好主體責任。鄭州市網信辦將針對數據安全保護義務履行不力,造成重要數據泄露風險的違法違規行爲加強監督檢查和執法,進一步營造安全穩定的網絡環境。

法律鏈接

《中華人民共和國數據安全法》第二十七條:開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。《中華人民共和國數據安全法》第四十五條規定:開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重後果的,處五十萬元以上二百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。