《數據安全法》施行近兩年來，江蘇公安機關網安部門聚焦信息數據泄露、濫用、篡改等行業(yè)領域問題亂象，加大監(jiān)督檢查、通報預警和行政執(zhí)法力度。

警方嚴厲懲治不履行數據安全保護義務的違法行為，全面壓緊壓實網絡運營單位數據安全主體責任，已累計依據《數據安全法》辦理行政案件336起。

案例一：宿遷某醫(yī)學檢驗機構

不履行數據安全保護義務案

近期，江蘇宿遷公安網安部門對當地某醫(yī)學檢驗機構檢查時發(fā)現，該機構運營的醫(yī)學檢驗信息平臺存在SQL注入漏洞、弱口令等網絡安全隱患，且未建立數據安全管理制度，未組織數據安全教育培訓，未采取相應技術措施保障數據安全，未對其數據處理活動開展風險監(jiān)測和定期風險評估，可致敏感業(yè)務數據泄露，涉嫌未履行數據安全保護義務。

宿遷公安機關依據《數據安全法》第45條規(guī)定，對該機構予以行政警告并處罰款10萬元。

圖片

案例二：成都某科技有限公司

不履行數據安全保護義務案

近期，江蘇蘇州公安網安部門工作發(fā)現，成都某科技有限公司在為蘇州某信息科技股份有限公司相關系統(tǒng)運維過程中，未建立健全全流程數據安全管理制度，為圖工作方便，私自將該公司30余萬條運營數據上傳至互聯網，且未落實任何技術防護措施保障數據安全，未對其數據處理活動開展風險監(jiān)測，可致該批數據泄露，涉嫌未履行數據安全保護義務。

蘇州公安機關依據《數據安全法》第45條規(guī)定，對該公司予以行政警告并處罰款5萬元。

圖片

案例三：泰州某不動產登記中心

和北京某科技發(fā)展研究中心

不履行數據安全保護義務案

近期，江蘇泰州公安網安部門工作發(fā)現，當地某不動產登記中心的“業(yè)務練兵系統(tǒng)”存在Elasticsearch未授權訪問安全漏洞，且未建立健全全流程數據安全管理制度，未落實有效的數據安全防護措施，可致該系統(tǒng)中存儲的24萬余條業(yè)務數據泄露，涉嫌未履行數據安全保護義務。

泰州公安機關依據《數據安全法》第45條規(guī)定，對該不動產登記中心予以行政警告并責令改正；對該系統(tǒng)的建設運維單位北京某科技發(fā)展研究中心予以行政警告并處罰款5萬元。

圖片

案例四：鹽城某醫(yī)藥公司

不履行數據安全保護義務案

近期，江蘇鹽城公安網安部門在對當地某醫(yī)藥公司檢查時發(fā)現，該公司醫(yī)療健康信息的會員管理系統(tǒng)存有大量公民個人信息，經現場檢測發(fā)現該系統(tǒng)存在網絡安全漏洞，且該公司未建立數據安全管理制度，未組織開展數據安全教育培訓，也未采取相應技術措施保障數據安全，涉嫌未履行數據安全保護義務。

鹽城公安機關依據《數據安全法》第45條規(guī)定，對該公司予以行政警告并責令限期改正。

圖片

案例五：南通某科技有限公司

不履行數據安全保護義務案

近期，江蘇南通公安網安部門對當地某科技有限公司檢查時發(fā)現，該公司對包含生產工藝流程、操作手冊、員工個人信息等數據的MySQL數據庫（數據量達百萬條），未建立數據安全管理制度，也未采取相應技術措施保障數據安全，并且存在使用“弱口令”即可登錄平臺、訪問數據的情況，涉嫌未履行數據安全保護義務。

南通公安機關依據《數據安全法》第45條規(guī)定，對該公司予以行政警告并責令限期改正。

網警提醒

醫(yī)療、金融、不動產等行業(yè)領域重要數據一旦泄露，將會對公共利益、經濟運行、個人權益造成重大危害，甚至會影響國家安全和社會穩(wěn)定。

《數據安全法》作為我國首部數據安全領域的基礎性立法，以總體國家安全觀為立法目標，聚焦數據安全領域的突出問題，建立了數據分級分類、重要數據保護、安全風險評估、監(jiān)測預警、應急處置、交易管理等基本制度，并明確了相關責任主體的安全保護義務。

公安機關將繼續(xù)緊盯數據安全領域最新動態(tài)，加強風險監(jiān)測、監(jiān)督檢查和行政執(zhí)法，不斷規(guī)范各類數據處理活動，完善數據防護技術措施，筑牢數據安全屏障體系，為數字經濟發(fā)展保駕護航。