随着各行业的数字化转型不断深入,数据安全逐步进入法制化的强监管时代。然而,由于人为攻击、技术漏洞和监管缺位等原因,各种数据泄露事件频繁发生,企业数据安全威胁日益严峻。
以下是我对2023年第三季度安全事件的总结,旨在警示正在进行数字化转型的企业,积极推进数据安全合规建设。
安全事件概述:
1.浦发银行郑州分行被罚款90.8万:浦发银行郑州分行因违反多项规定,包括未按规定履行客户身份识别义务、与身份不明的客户进行交易等,被处以90.8万元罚款。
2.某南昌高校被罚款80万:南昌某高校的3万余条师生个人信息数据在境外互联网上被公开售卖,涉及教职工信息、学生信息、缴费信息等。南昌公安网安部门根据《中华人民共和国数据安全法》第45条的规定,对该学校作出责令改正、警告,并处以80万元人民币罚款的处罚。该学校的主要责任人被处以5万元罚款的处罚。
3.广西某网站被罚款20万元:广西北海公安发现该网站存在数据泄露问题,约22万个人信息数据被挂在境外论坛上售卖。该网站收集了大量个人和企业的公民信息,但服务器安全防护措施不足,仅能对一些简单攻击手段进行防御,且还存在被境外IP攻击入侵的情况。该网站未采取有效的技术保护措施,也未及时告知用户和主动向公安机关报告。根据《网络安全法》第42条的规定,对该公司及直接负责人员分别处以20万元、3万元罚款的行政处罚。
4.重庆市网信办对违规行为进行处罚:重庆市网信办对一家科技公司依据《数据安全法》作出了责令改正、行政警告,并处以10万元罚款的行政处罚。经审查发现,该公司在业务开展过程中收集、存储、处理的网络数据量较大,但未建立健全的网络数据安全管理制度,未组织网络数据安全教育培训,并没有采取相应的技术措施保障网络数据安全。此外,该公司还存在数据库数据泄露的情况。
5.上海政务信息系统技术服务公司被处罚:上海市某政府信息系统技术承包商在将政务数据置于互联网进行测试期间,其相关存储端存在高危漏洞,导致大量公民数据泄露,成为境外不法分子窃取政务数据的入口。上海市网信办要求该公司下线政府网站页面、关闭相关云服务端口,并要求配合开展网络资产清查。该公司也被处以行政处罚。
6.国家网信办对中国知网进行处罚:国家网信办对中国知网进行了网络安全审查,并处以5000万元罚款的行政处罚。经调查发现,在知网运营的14款App中,包括手机知网和知网阅读,存在违法行为,如违反个人信息保护法、未经同意收集个人信息等。
仅截至2023年三季度,江苏公安部门已经依据《数据安全法》处理了336起行政案件。由此可见,对于企业来说,数据安全合规建设仍然是一个亟待解决的问题。数据处理者应加强数据安全保护,并落实国家总体安全观,切实履行数据安全保护义务。同时,企业还应建立数据安全管理制度,维护国家安全和社会稳定。
为了帮助更多企业建设合法合规、统一高效的数据安全防护体系,迅软科技现开展数据安全与数据管理系列保护企业数据安全是一个长期的过程。如果企业希望避免成为下一次数据泄露事件的受害者,就必须采取相应的保护措施。