《資料安全法》施行近兩年來,中國大陸江蘇公安機關網安部門聚焦資訊資料洩露、濫用、篡改等行業領域問題亂象,加大監督檢查、通報預警和行政執法力度。
警方嚴厲懲治不履行資料安全保護義務的違法行為,全面壓緊壓實網路運營單位資料安全主體責任,已累計依據《資料安全法》辦理行政案件336起。
案例一:宿遷某醫學檢驗機構——不履行資料安全保護義務案
近期,江蘇宿遷公安網安部門對當地某醫學檢驗機構檢查時發現,該機構運營的醫學檢驗資訊平台存在SQL注入漏洞、弱口令等網路安全隱患,且未建立資料安全管理制度,未組織資料安全教育培訓,未採取相應技術措施保障資料安全,未對其資料處理活動開展風險監測和定期風險評估,可致敏感業務資料洩露,涉嫌未履行資料安全保護義務。
宿遷公安機關依據《資料安全法》第45條規定,對該機構予以行政警告並處罰款10萬元。
案例二:成都某科技有限公司——不履行資料安全保護義務案
近期,江蘇蘇州公安網安部門工作發現,成都某科技有限公司在為蘇州某資訊科技股份有限公司相關系統運維過程中,未建立健全全流程資料安全管理制度,為圖工作方便,私自將該公司30餘萬條運營資料上傳至網路,且未落實任何技術防護措施保障資料安全,未對其資料處理活動開展風險監測,可致該批資料洩露,涉嫌未履行資料安全保護義務。
蘇州公安機關依據《資料安全法》第45條規定,對該公司予以行政警告並處罰款5萬元。
案例三:鹽城某醫藥公司——不履行資料安全保護義務案
近期,江蘇鹽城公安網安部門在對當地某醫藥公司檢查時發現,該公司醫療健康資訊的會員管理系統存有大量公民個人資訊,經現場檢測發現該系統存在網路安全性漏洞,且該公司未建立資料安全管理制度,未組織開展資料安全教育培訓,也未採取相應技術措施保障資料安全,涉嫌未履行資料安全保護義務。
鹽城公安機關依據《資料安全法》第45條規定,對該公司予以行政警告並責令限期改正。
《資料安全法》作為中國大陸首部資料安全領域的基礎性立法,以總體國家安全觀為立法目標,聚焦資料安全領域的突出問題,建立了資料分級分類、重要資料保護、安全風險評估、監測預警、應急處置、交易管理等基本制度,並明確了相關責任主體的安全保護義務。
醫療、金融、不動產等行業領域重要資料一旦洩露,將會對公共利益、經濟運行、個人權益造成重大危害,甚至會影響國家安全和社會穩定,各個企業要引起足夠重視。