信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全學(xué)習(xí)那些事兒”。

2023年9月6月，據(jù)公安部網(wǎng)安局報(bào)道：《數(shù)據(jù)安全法》施行近兩年來(lái)，江蘇公安機(jī)關(guān)網(wǎng)安部門(mén)聚焦信息數(shù)據(jù)泄露、濫用、篡改等行業(yè)領(lǐng)域問(wèn)題亂象，加大監(jiān)督檢查、通報(bào)預(yù)警和行政執(zhí)法力度。警方嚴(yán)厲懲治不履行數(shù)據(jù)安全保護(hù)義務(wù)的違法行為，全面壓緊壓實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)單位數(shù)據(jù)安全主體責(zé)任，已累計(jì)依據(jù)《數(shù)據(jù)安全法》辦理行政案件336起。

案例一：宿遷某醫(yī)學(xué)檢驗(yàn)機(jī)構(gòu)不履行數(shù)據(jù)安全保護(hù)義務(wù)案

近期，江蘇宿遷公安網(wǎng)安部門(mén)對(duì)當(dāng)?shù)啬翅t(yī)學(xué)檢驗(yàn)機(jī)構(gòu)檢查時(shí)發(fā)現(xiàn)，該機(jī)構(gòu)運(yùn)營(yíng)的醫(yī)學(xué)檢驗(yàn)信息平臺(tái)存在SQL注入漏洞、弱口令等網(wǎng)絡(luò)安全隱患，且未建立數(shù)據(jù)安全管理制度，未組織數(shù)據(jù)安全教育培訓(xùn)，未采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全，未對(duì)其數(shù)據(jù)處理活動(dòng)開(kāi)展風(fēng)險(xiǎn)監(jiān)測(cè)和定期風(fēng)險(xiǎn)評(píng)估，可致敏感業(yè)務(wù)數(shù)據(jù)泄露，涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。宿遷公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第45條規(guī)定，對(duì)該機(jī)構(gòu)予以行政警告并處罰款10萬(wàn)元。

案例二：成都某科技有限公司不履行數(shù)據(jù)安全保護(hù)義務(wù)案

近期，江蘇蘇州公安網(wǎng)安部門(mén)工作發(fā)現(xiàn)，成都某科技有限公司在為蘇州某信息科技股份有限公司相關(guān)系統(tǒng)運(yùn)維過(guò)程中，未建立健全全流程數(shù)據(jù)安全管理制度，為圖工作方便，私自將該公司30余萬(wàn)條運(yùn)營(yíng)數(shù)據(jù)上傳至互聯(lián)網(wǎng)，且未落實(shí)任何技術(shù)防護(hù)措施保障數(shù)據(jù)安全，未對(duì)其數(shù)據(jù)處理活動(dòng)開(kāi)展風(fēng)險(xiǎn)監(jiān)測(cè)，可致該批數(shù)據(jù)泄露，涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。蘇州公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第45條規(guī)定，對(duì)該公司予以行政警告并處罰款5萬(wàn)元。

案例三：泰州某不動(dòng)產(chǎn)登記中心和北京某科技發(fā)展研究中心不履行數(shù)據(jù)安全保護(hù)義務(wù)案

近期，江蘇泰州公安網(wǎng)安部門(mén)工作發(fā)現(xiàn)，當(dāng)?shù)啬巢粍?dòng)產(chǎn)登記中心的“業(yè)務(wù)練兵系統(tǒng)”存在Elasticsearch未授權(quán)訪(fǎng)問(wèn)安全漏洞，且未建立健全全流程數(shù)據(jù)安全管理制度，未落實(shí)有效的數(shù)據(jù)安全防護(hù)措施，可致該系統(tǒng)中存儲(chǔ)的24萬(wàn)余條業(yè)務(wù)數(shù)據(jù)泄露，涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。泰州公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第45條規(guī)定，對(duì)該不動(dòng)產(chǎn)登記中心予以行政警告并責(zé)令改正;對(duì)該系統(tǒng)的建設(shè)運(yùn)維單位北京某科技發(fā)展研究中心予以行政警告并處罰款5萬(wàn)元。

案例四：鹽城某醫(yī)藥公司不履行數(shù)據(jù)安全保護(hù)義務(wù)案

近期，江蘇鹽城公安網(wǎng)安部門(mén)在對(duì)當(dāng)?shù)啬翅t(yī)藥公司檢查時(shí)發(fā)現(xiàn)，該公司醫(yī)療健康信息的會(huì)員管理系統(tǒng)存有大量公民個(gè)人信息，經(jīng)現(xiàn)場(chǎng)檢測(cè)發(fā)現(xiàn)該系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，且該公司未建立數(shù)據(jù)安全管理制度，未組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，也未采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全，涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。鹽城公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第45條規(guī)定，對(duì)該公司予以行政警告并責(zé)令限期改正。

案例五：南通某科技有限公司不履行數(shù)據(jù)安全保護(hù)義務(wù)案

近期，江蘇南通公安網(wǎng)安部門(mén)對(duì)當(dāng)?shù)啬晨萍加邢薰緳z查時(shí)發(fā)現(xiàn)，該公司對(duì)包含生產(chǎn)工藝流程、操作手冊(cè)、員工個(gè)人信息等數(shù)據(jù)的MySQL數(shù)據(jù)庫(kù)(數(shù)據(jù)量達(dá)百萬(wàn)條)，未建立數(shù)據(jù)安全管理制度，也未采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全，并且存在使用“弱口令”即可登錄平臺(tái)、訪(fǎng)問(wèn)數(shù)據(jù)的情況，涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。南通公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第45條規(guī)定，對(duì)該公司予以行政警告并責(zé)令限期改正。

網(wǎng)警提醒：醫(yī)療、金融、不動(dòng)產(chǎn)等行業(yè)領(lǐng)域重要數(shù)據(jù)一旦泄露，將會(huì)對(duì)公共利益、經(jīng)濟(jì)運(yùn)行、個(gè)人權(quán)益造成重大危害，甚至?xí)绊憞?guó)家安全和社會(huì)穩(wěn)定。《數(shù)據(jù)安全法》作為我國(guó)首部數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性立法，以總體國(guó)家安全觀為立法目標(biāo)，聚焦數(shù)據(jù)安全領(lǐng)域的突出問(wèn)題，建立了數(shù)據(jù)分級(jí)分類(lèi)、重要數(shù)據(jù)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置、交易管理等基本制度，并明確了相關(guān)責(zé)任主體的安全保護(hù)義務(wù)。

公安機(jī)關(guān)將繼續(xù)緊盯數(shù)據(jù)安全領(lǐng)域最新動(dòng)態(tài)，加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)、監(jiān)督檢查和行政執(zhí)法，不斷規(guī)范各類(lèi)數(shù)據(jù)處理活動(dòng)，完善數(shù)據(jù)防護(hù)技術(shù)措施，筑牢數(shù)據(jù)安全屏障體系，為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。