前言导读
在数字经济蓬勃发展的今天,数据正成为不法分子眼中的“数字黄金”。
案件回顾
今年2月,江西省萍乡市公安局网安部门巡查发现,某机构查询系统存在重大泄露风险,极易被不法分子利用。
调查发现,该机构为图方便,未按规定将手持终端采集的数据导入专网处理。其在授权某供应商后当起了“甩手掌柜”。供应商更是将网络数据安全底线抛之脑后,未设置任何技术防护措施。
涉事机构未履行数据安全保护义务,江西省萍乡市公安局网安部门依据《数据安全法》《个人信息保护法》有关规定对其予以警告处罚并责令限期整改。市委网信办联合公安机关对属地有关部门启动约谈问责程序,要求全面排查系统数据安全隐患。
经过执法部门严肃查处、教育,机构方进行了深刻反省,第一时间关停了相关页面,并组织开展了全面查究整改和网络安全培训。
处罚依据
《中华人民共和国数据安全法》第二十七条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
《中华人民共和国个人信息保护法》第五十一条规定:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
警方提示
开展数据处理活动应严格落实数据安全主体责任,建立全流程数据安全管理制度;严格规范第三方合作,建立安全评估和动态监管机制;技术防护必须“三同步”:系统建设与安全防护同步规划、同步实施、同步使用。
素材丨江西网警
来源:公安部网安局
📍发表于:中国 北京
