本文來自上海網(wǎng)信辦。
2023年10月11日,在工作中發(fā)現(xiàn),我市某科技公司相關(guān)數(shù)據(jù)庫存在未授權(quán)訪問漏洞,部分數(shù)據(jù)被竊并傳輸?shù)骄惩狻I虾J芯W(wǎng)信辦將相關(guān)情況通報涉事企業(yè)并要求立即核查整改,但該科技公司無視數(shù)據(jù)安全保護責任,未進行及時有效整改且擅自將涉事數(shù)據(jù)庫一刪了之,意圖逃避處罰。上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》對該科技公司及公司直接責任人員予以行政處罰。
經(jīng)調(diào)查核實,該科技公司主要從事為保險類企業(yè)提供互聯(lián)網(wǎng)通信服務(wù)。2022年10月,公司安裝配置了一臺Elasticsearch數(shù)據(jù)庫服務(wù)器,用于搜集多個應(yīng)用系統(tǒng)的業(yè)務(wù)日志,并存儲了包含用戶姓名、身份證號碼、手機號在內(nèi)的大量個人信息。該公司未建立健全全流程數(shù)據(jù)安全管理制度,未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全,因數(shù)據(jù)庫存在未授權(quán)訪問漏洞,造成部分數(shù)據(jù)泄漏被傳輸?shù)骄惩釯P。同時企業(yè)私自刪除涉事數(shù)據(jù)庫逃避責任、沒有按照規(guī)定及時向網(wǎng)信部門報告,未有效履行數(shù)據(jù)安全保護義務(wù)。針對以上違法情況,上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條,對該科技公司作出責令改正,給予警告,并處人民幣8萬元罰款的行政處罰;對公司直接責任人員作出罰款人民幣1萬元的行政處罰。
上海市網(wǎng)信辦相關(guān)負責人強調(diào),數(shù)據(jù)安全關(guān)乎人民群眾切身利益,關(guān)乎國家安全和社會穩(wěn)定。開展數(shù)據(jù)處理活動的企業(yè)應(yīng)當依照法律、法規(guī)的規(guī)定,完善相關(guān)管理制度,采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。一旦發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,企業(yè)應(yīng)當立即采取補救措施;發(fā)生數(shù)據(jù)安全事件時,應(yīng)當立即采取處置措施,按照規(guī)定及時向網(wǎng)信部門報告,擅自刪除涉事數(shù)據(jù)庫的行為不僅無益無效而且違法違規(guī),將會受到法律懲處。下一步,上海市網(wǎng)信辦將深入貫徹落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律要求,持續(xù)加強網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護工作,督促企業(yè)切實履行好主體責任,對問題嚴重、屢教不改的企業(yè)堅決予以依法查處。