數(shù)據(jù)泄露傳至境外,公司不作整改反擅自刪除數(shù)據(jù)庫!上海市網(wǎng)信辦出手不留情
發(fā)布日期:2023-12
不久前,上海某科技公司曝出與其相關(guān)的數(shù)據(jù)庫存在未經(jīng)授權(quán)的訪問漏洞,導(dǎo)致部分?jǐn)?shù)據(jù)泄露并傳輸?shù)骄惩狻I虾J芯W(wǎng)信辦隨后通報了該情況,并要求涉事企業(yè)立即進(jìn)行核查和整改。然而,該科技公司對數(shù)據(jù)安全保護(hù)責(zé)任置若罔聞,未能及時有效地進(jìn)行整改,甚至擅自刪除了涉事數(shù)據(jù)庫,試圖逃避處罰。
經(jīng)過調(diào)查核實(shí),該科技公司主要為保險類企業(yè)提供互聯(lián)網(wǎng)通信服務(wù)。在2022年10月,該公司安裝配置了一臺Elasticsearch數(shù)據(jù)庫服務(wù)器,用于搜集多個應(yīng)用系統(tǒng)的業(yè)務(wù)日志,并存儲包含用戶姓名、身份證號碼、手機(jī)號碼等大量個人信息。然而,該公司未建立完善的全流程數(shù)據(jù)安全管理制度,也未采取相應(yīng)的技術(shù)措施和其他必要措施來保障數(shù)據(jù)安全。正因?yàn)閿?shù)據(jù)庫存在未經(jīng)授權(quán)的訪問漏洞,部分?jǐn)?shù)據(jù)泄露并傳輸?shù)骄惩釯P地址。
與此同時,該企業(yè)私自刪除涉事數(shù)據(jù)庫,企圖逃避責(zé)任,并沒有按照規(guī)定及時向網(wǎng)信部門報告,未能有效履行數(shù)據(jù)安全保護(hù)義務(wù)。基于這些違法行為,上海市網(wǎng)信辦根據(jù)《數(shù)據(jù)安全法》第二十七條和第四十五條的規(guī)定,對該科技公司做出了責(zé)令改正的通知,并給予警告,同時處以人民幣8萬元的行政罰款;對公司直接責(zé)任人員也做出了人民幣1萬元的行政罰款。
上海市網(wǎng)信辦相關(guān)負(fù)責(zé)人強(qiáng)調(diào),數(shù)據(jù)安全關(guān)乎人民的切身利益,也關(guān)乎安全和社會穩(wěn)定。從事數(shù)據(jù)處理活動的企業(yè)應(yīng)依照法律和法規(guī)的要求,建立相關(guān)的管理制度,并采取相應(yīng)的技術(shù)和其他必要措施來保障數(shù)據(jù)安全。一旦發(fā)現(xiàn)數(shù)據(jù)泄露、漏洞等風(fēng)險,企業(yè)應(yīng)立即采取補(bǔ)救措施;在發(fā)生數(shù)據(jù)安全事件時,應(yīng)立即采取處置措施,并按照規(guī)定及時向網(wǎng)信部門報告。擅自刪除涉事數(shù)據(jù)庫的行為沒有益處,還違反了法律法規(guī),將受到法律的懲處。
(來源:網(wǎng)信上海)
