0898-08663552
NEWS
新闻资讯
发布时间:2024-05-23 点击量:
前期,上海市网信办在跟踪调查中发现,上海市某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间,相关存储端存在高危漏洞,导致大量公民数据泄露,以致成为境外不法分子窃取政务数据的“供应链”入口,2022年7月,相关公民个人信息在境外黑客论坛被披露兜售。针对问题线索,上海市网信办联合有关部门对涉事公司未严格履行数据安全保护义务的违法行为,开展现场网络安全检查。经查,该公司主要从事政务信息系统技术支撑工作。2022年,该公司租用1台私有云服务器用于对未交付政务系统的研发测试和演示验收工作,存储了大量公民信息和政务信息,涉及公民个人信息数据1.5万余条。现场检查发现,该公司在开展数据处理活动中未能有效履行数据安全和个人信息保护义务,没有建立全流程数据安全管理制度,未采取技术防护措施保障数据安全和公民个人信息安全,导致平台频繁遭受境外远程访问和数据泄露风险。日前,上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚。
经过立案调查、现场勘验、远程勘验(采样技术分析)、笔录问询等工作,查明:1.该公司未履行数据安全保护义务,未采取相应的技术措施和其他必要措施保障数据安全,所属的服务器遭境外黑客攻击并植入可获取服务器文件管理权限和命令执行权限的木马程序,大量数据疑似泄露或被窃取,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;2.该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。
2024年5月15日,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对南昌某集团有限公司处以警告、罚款10万元,对直接负责的主管人员处以罚款2万元的行政处罚。
涉案公司表示,已充分认识到问题的严重性及造成的不良影响,诚恳接受处罚,今后将严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法规要求,切实履行好网络安全和数据安全保护义务。
下一步,南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。
经查实,三家企业违反《中华人民共和国数据安全法》第二十七条规定,未履行数据安全保护义务,部署的ElasticSearch数据库存在未授权访问漏洞,造成部分数据泄露。北京市网信办依据《中华人民共和国数据安全法》第四十五条第一款规定,对三家企业分别作出责令改正,给予警告,并处5万元罚款的行政处罚,对直接主管人员和其他责任人员处以1万元罚款处罚。
依据相关法律法规,企业应牢固树立合规意识,规范数据处理行为,完善数据安全防护技术措施,严格履行主体责任,切实维护网络安全和数据安全。下一步,北京市网信办将持续强化相关领域执法,坚决筑牢网络安全、数据安全保护屏障。
2.该企业未采取相应的技术措施和其他必要措施保障数据安全,其运营的数据库被黑客删库并勒索;
3.该企业未加强风险监测,发生删库勒索事件时未采取处置措施和履行主动报告义务。该企业的相关行为违反了《中华人民共和国数据安全法》第二十七条、二十九条的规定。
南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对该企业作出警告并处罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。
南昌市网信办将依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。
2023年4月13日,接上级网信部门通报,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒,主机存在受控的风险。当日,南昌市互联网信息办公室决定立案调查并派执法人员开展案件调查工作。经过现场勘验、抽样取证、远程勘验(样本技术分析)、笔录问询等程序,查明:
①该公司的OA系统和服务器内存储了大量敏感数据,但该公司履行数据安全保护义务不到位,OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;(《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。)
②该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。(《中华人民共和国数据安全法》第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。)
2023年5月30日,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定(《中华人民共和国数据安全法》 第四十五条 :开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。),对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。
经调查核实,该科技公司于2023年1月开发了一家网站,存储了包含用户姓名、手机号、电子邮箱等在内的大量个人信息。该科技公司在开展数据处理活动时,未建立健全全流程数据安全管理制度,未组织开展数据安全教育培训,未采取相应的措施保障数据安全。
同时,在开展数据处理活动时未加强风险监测,造成个人信息泄露等问题,该网站存在未履行数据安全保护义务的违法行为。
针对以上违法情况,衡阳市网信办依据《中华人民共和国数据安全法》第四十五条有关规定,对该科技公司作出责令改正,给予警告,并处人民币10万元罚款的行政处罚。
数据安全关乎人民群众切身利益,关乎国家安全和社会稳定。开展数据处理活动的企业应当依照法律法规的规定,完善相关管理制度,保障数据安全。一旦发现数据安全缺陷、漏洞等风险时,企业应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时向网信部门报告。
下一步,衡阳市网信办将深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律要求,切实履行属地管理责任,持续加强网络安全、数据安全和个人信息保护工作,督促企业切实履行好主体责任,对问题严重、QY千亿球友会app屡教不改的企业坚决予以依法查处。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。
联系球友会
Contact us
SERVICE TIME:08:30-18:30