案件回顾
今年2月,江西省萍乡市公安局网安部门巡查发现,某机构查询系统存在重大泄露风险,极易被不法分子利用。
调查发现,该机构为图方便,未按规定将手持终端采集的数据导入专网处理。其在授权某供应商后当起了“甩手掌柜”。供应商更是将网络数据安全底线抛之脑后,未设置任何技术防护措施。
涉事机构未履行数据安全保护义务,江西省萍乡市公安局网安部门依据《数据安全法》《个人信息保护法》有关规定对其予以警告处罚并责令限期整改。市委网信办联合公安机关对属地有关部门启动约谈问责程序,要求全面排查系统数据安全隐患。
经过执法部门严肃查处、教育,机构方进行了深刻反省,第一时间关停了相关页面,并组织开展了全面查究整改和网络安全培训。
处罚依据
《中华人民共和国数据安全法》第二十七条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
《中华人民共和国个人信息保护法》第五十一条规定:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
警方提示
开展数据处理活动应严格落实数据安全主体责任,建立全流程数据安全管理制度;严格规范第三方合作,建立安全评估和动态监管机制;技术防护必须“三同步”:系统建设与安全防护同步规划、同步实施、同步使用;公民发现个人信息泄露,请立即通过“网络违法犯罪举报网站”或110报警。
密博士提醒
密码技术是维护数据安全的关键核心技术。通过基于密码技术的身份鉴别、信任管理、访问控制、数据加密、可信计算、密文计算、数据脱敏等措施,可以有效解决数据产生、传输、存储、处理、分析、使用等全生命周期安全问题。
国家相关法律法规明确,重要网络和信息系统(点击查看),其运营者应当使用商用密码进行保护,每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。
整理/密博士 编辑/邹紫凯 校对/叶凯灵 核发/金艳萍
不忘初心,守护命门!云上(江西)密码服务科技有限公司在线为您解读密码政策法规、普及密码行业知识、传递商用密码动态、提供密码应用改造咨询服务
觉得好看,请点个赞 👍