案情回顧
近日,吉林長春公安網安部門在開展網絡安全監督檢查時發現,吉林某醫藥公司在經營過程中存儲大量公民個人信息,但在數據安全上卻“四大皆空”,沒有履行數據安全保護義務,存在嚴重數據泄露風險:
無制度——未建立全流程數據安全管理制度;
無培訓——未組織員工開展數據安全教育培訓;
無技術——未采取技術措施和其他必要措施;
無防護——存儲隱私數據服務器直接暴露在互聯網。
針對該醫藥公司未履行數據安全保護義務行為,吉林長春公安機關根據《中華人民共和國數據安全法》第二十七條、第四十五條規定,依法追究該公司的法律責任并責令其限期改正。
《中華人民共和國數據安全法》第二十七條第一款 開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。
《中華人民共和國數據安全法》第四十五條第一款 開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
數據是資產,也是“炸彈”,切莫在數據安全戰場上“裝睡”,小心“省錢省事”變成“傾家蕩產”。網警溫馨提醒廣大企業:
守住法律底線,樹牢合規意識;
規范數據處理,杜絕亂采亂用;
做好技術防護,強化安全措施;
履行主體責任,莫讓數據“裸奔”。
素材 | 吉林長春網警
