數據安全警鐘：某機構因數據安全問題被查處

前言導讀

在數字經濟蓬勃發展的今天，數據正成為不法分子眼中的“數字黃金”。

案件回顧

今年2月，江西省萍鄉市公安局網安部門巡查發現，某機構查詢系統存在重大泄露風險，極易被不法分子利用。

調查發現，該機構為圖方便，未按規定將手持終端採集的數據導入專網處理。其在授權某供應商後當起了“甩手掌櫃”。供應商更是將網絡數據安全底線拋之腦後，未設置任何技術防護措施。

涉事機構未履行數據安全保護義務，江西省萍鄉市公安局網安部門依據《數據安全法》《個人信息保護法》有關規定對其予以警告處罰並責令限期整改。市委網信辦聯合公安機關對屬地有關部門啓動約談問責程序，要求全面排查系統數據安全隱患。

經過執法部門嚴肅查處、教育，機構方進行了深刻反省，第一時間關停了相關頁面，並組織開展了全面查究整改和網絡安全培訓。

處罰依據

《中華人民共和國數據安全法》第二十七條規定：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，採取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

《中華人民共和國個人信息保護法》第五十一條規定：個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：

（一）制定內部管理制度和操作規程；

（二）對個人信息實行分類管理；

（三）採取相應的加密、去標識化等安全技術措施；

（四）合理確定個人信息處理的操作權限，並定期對從業人員進行安全教育和培訓；

（五）制定並組織實施個人信息安全事件應急預案；

（六）法律、行政法規規定的其他措施。

警方提示

開展數據處理活動應嚴格落實數據安全主體責任，建立全流程數據安全管理制度；嚴格規範第三方合作，建立安全評估和動態監管機制；技術防護必須“三同步”：系統建設與安全防護同步規劃、同步實施、同步使用。

素材丨江西網警