更新时间:2026-01-28 18:49:19
开发经验
18近日,北京网信办根据《中华人民共和国数据安全法》对3家当地企业(未点名)涉嫌网络数据安全违法行为展开调查,并作出行政处罚。经核实,三公司违反了《中华人民共和国数据安全法》号第二十七条的规定,未履行数据安全保护义务。部署的ElasticSearch数据库存在未授权访问漏洞,导致部分数据泄露。北京市网信办依据《中华人民共和国数据安全法》号第四十五条第一款的规定,责令三家公司改正,给予警告,并处以5万元罚款的行政处罚。对直接主管人员和其他责任人员处1万元罚款。
上述案例并非唯一因未履行数据安全保护义务而被罚款的案例。
近日,某医学检验机构运营的医学检验信息平台存在SQL注入漏洞、弱密码等网络安全风险。未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动进行风险监控和定期风险评估。这可能导致敏感业务数据泄露,涉嫌未履行数据安全保护义务。公安机关依照《数据安全法》号第四十五条的规定,对该机构给予行政警告,并处罚款10万元。
成都某科技公司在苏州某信息科技公司相关系统运维过程中,未能建立健全全流程数据安全管理体系。为方便工作,其私自将公司30万多条运营数据上传至互联网。其也未落实任何确保数据安全的技术保护措施,未对其数据处理活动进行风险监控,可能导致该批数据泄露。涉嫌未履行数据安全保护义务。公安机关依据《数据安全法》号第四十五条的规定,对该公司给予行政警告,并处罚款5万元。
江苏盐城某制药公司。公司医疗健康信息会员管理系统中包含大量公民个人信息。公安机关经现场检查发现该系统存在网络安全漏洞。公司未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全。涉嫌未履行数据安全保护义务。公安机关依据《数据安全法》号第四十五条规定,对该公司给予行政警告,责令限期改正。
医疗、金融、房地产等行业的重要数据一旦泄露,将对公共利益、经济运行、个人权益造成重大损害,甚至影响国家安全和社会稳定。
《数据安全法》号文件作为我国首部数据安全领域基础立法,以总体国家安全理念为立法目标,聚焦数据安全领域突出问题,建立数据分级分类、重要数据保护、安全风险评估、监测预警、应急响应、交易管理等基础制度,明确相关责任主体的安全保护义务。
2023年,数据安全处罚事件数量将逐年增加,呈现爆发式增长。互联网行业是数据安全处罚事件的重灾区。主要原因是没有建立相应的技术措施和管理制度,涉及的问题主要包括以下几个方面:
1、未对敏感数据采取去标识、加密等技术保护措施,导致数据泄露或存在数据泄露风险。
2、现有漏洞未修复或管理,被隐藏链接、木马等攻击或植入。
3、数据安全事件发生后未及时处理。
4、数据处理者未遵守数据交易安全规定,擅自向境外提供重要数据。
当前,我国数据安全仍面临重大挑战。企业和个人数据安全意识不足,导致数据安全防护技术和管理存在漏洞。网络运营者应当按照网络安全等级保护制度的要求,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取技术措施防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为;采取监控、技术措施记录网络运行状态和网络安全事件,并按照规定保存相关网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;保护网络免受干扰、破坏或未经授权的访问,防止网络数据泄露、被盗用或被篡改。
采用SSL证书HTTPS加密措施,防止网站、WEB应用、APP等数据在传输过程中被窃取、篡改,确保数据完整性;防止数据被劫持和网页嵌入广告。各企业和个人要持续关注数据安全领域最新动态,加强风险监测和监督检查,持续规范各项数据处理活动,完善数据保护技术措施,筑牢数据安全屏障体系,为数字经济发展保驾护航。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
