违规上传数据,还不做好保护,被罚百万
2023-6-18 23:31:52 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

数据安全法自 2021 年 9 月 1 日就开始实施,作为企业主体,需要对数据的安全负责,也就是说,需要对企业采集或者处理的敏感数据采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

案例一:第三方公司处理敏感数据时违反数据安全法被罚 100 万

今年 3 月份,浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题,浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。

根据《中华人民共和国数据安全法》第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款 100 万元、8 万元、6 万元的行政处罚。

以上案例,主要因为第三方公司为政府部门开发信息系统时,擅自将数据上传至云且未设置保护措施,导致任意人员可以访问,从而造成数据泄漏的巨大风险,这是一个典型的案例,有大量的第三方开发公司可以接触到敏感数据,这类公司一定要从该案例中吸取教训,提升开发维护人员的数据安全意识,避免公司因此受罚。

参考

浙江公安网安部门适用《数据安全法》对违法单位罚款100万元

案例二:系统存在漏洞,存在数据泄漏风险,被罚 5 万

今年 2 月份,湖南省长沙市公安局岳麓分局网安部门工作发现,辖区某电商平台的票务系统存在数据泄露隐患,该企业服务器存在未授权访问漏洞,用户以你说数据存在泄漏风险。

经过调查,该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度,根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款五万元,对直接责任人处罚款一万元,责令限期改正。

以上案例,主要是因为企业运营数据存储的时候,未做好保护措施,存在数据泄漏的风险,加上自身无数据安全相关保护措施,作为企业,首先要充分落实网络安全等级保护制度,制定数据安全管理制度,对于企业运营数据、用户隐私数据做到严格保护。

互联网上有大量企业对外服务的系统存在漏洞,同时保存有海量用户隐私数据,请大家做好自查,未来被处罚的也可能是你,不能存侥幸心理。

参考

湖南网安适用《数据安全法》对多个单位作出行政处罚

总结

《数据安全法》作为我国首部数据安全领域的基础性立法,以总体国家安全观为立法目标,聚焦数据安全领域的突出问题,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,并明确了相关主体的数据安全保护义务。

作为安全从业者,《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规都是我们无法触碰的红线;

作为企业主,最好的做法就是提前投入安全预算,避免这类安全时事件发生;

作为公民,要有数据安全保护意识,不仅仅是保护自己的隐私数据不被泄漏和恶意利用,还要有意识不做网络犯罪的帮凶,泄漏身边人的隐私。


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247498783&idx=1&sn=1f63625bb97020f8b2f413e05c3b1cbb&chksm=ec1dcc37db6a452156673afcbac8bb84a233b82c95e8df70b9cde70e2f6c0436a4e34c9a7ffb&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh