案情回顾
近日,吉林长春公安网安部门在开展网络安全监督检查时发现,吉林某医药公司在经营过程中存储大量公民个人信息,但在数据安全上却“四大皆空”,没有履行数据安全保护义务,存在严重数据泄露风险:
无制度——未建立全流程数据安全管理制度;
无培训——未组织员工开展数据安全教育培训;
无技术——未采取技术措施和其他必要措施;
无防护——存储隐私数据服务器直接暴露在互联网。
针对该医药公司未履行数据安全保护义务行为,吉林长春公安机关根据《中华人民共和国数据安全法》第二十七条、第四十五条规定,依法追究该公司的法律责任并责令其限期改正。
网警普法
《中华人民共和国数据安全法》第二十七条第一款 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
《中华人民共和国数据安全法》第四十五条第一款 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
数据是资产,也是“炸弹”,切莫在数据安全战场上“装睡”,小心“省钱省事”变成“倾家荡产”。网警温馨提醒广大企业:
守住法律底线,树牢合规意识;
规范数据处理,杜绝乱采乱用;
做好技术防护,强化安全措施;
履行主体责任,莫让数据“裸奔”。
素材 | 吉林长春网警
声明:本文来自公安部网安局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
