《數據安全法》正式實施后�,公安機關網安部門積極適用新法��,堅持“以打促管�����、生態治理”��,全面壓緊壓實網絡運營單位數據安全主體責任��,充分體現“有法可依��、有法必依��、執法必嚴”的法治精神��。
2022年2月��,在開展廣州民生實事“個人信息超范圍采集整治治理”專項工作中��,廣州警方檢查發現����,廣州某公司開發的“駕培平臺”存儲了駕校培訓學員的姓名�、身份證號���、手機號�、個人照片等信息1070萬余條��,但該公司沒有建立數據安全管理制度和操作規程�,對于日常經營活動采集到的駕校學員個人信息未采取去標識化和加密措施�����,系統存在未授權訪問漏洞等嚴重數據安全隱患���。系統平臺一旦被不法分子突破竊取����,將導致大量駕校學員個人信息泄露��,給廣大人民群眾個人利益造成重大影響�����。根據《中華人民共和國數據安全法》的有關規定���,廣州警方對該公司未履行數據安全保護義務的違法行為��,依法處以警告并處罰款人民幣5萬元的行政處罰����,開創了廣東省公安機關適用《中華人民共和國數據安全法》的先例����,對數據安全治理作出了積極探索和實踐��。
2023年2月��,湖南省長沙市公安局岳麓分局網安部門工作發現��,轄區某電商平臺存在數據泄露隱患�,迅速組織專業技術人員調取日志并約談單位相關責任人員���。經查�����,該企業服務器存在未授權訪問漏洞��,用戶隱私數據存在泄露風險�。通過進一步核實���,該企業未制定數據安全管理制度�、未充分落實網絡安全等級保護制度���。長沙市公安局岳麓分局根據《數據安全法》第二十七條�����、第四十五條第一款之規定�,給予該企業警告�,并處罰款五萬元��,對直接責任人處罰款一萬元��,責令限期改正�����。2023年2月���,湖南省湘潭市公安局岳塘分局網安部門通過工作發現轄區某商旅服務公司票務系統中存有大量用戶姓名���、電話�、身份證號�、航班���、銀行賬戶等敏感數據���,存在數據泄露風險���。
經查�����,該公司服務器短時間內存在大量登錄失敗�,被惡意用戶暴力破解賬戶密碼痕跡���。同時����,服務器內安裝的ElasticSearch軟件�,可通過互聯網在無需賬號密碼條件下直接訪問系統內敏感數據���。
湘潭市公安局岳塘分局根據《數據安全法》第二十七條���、第四十五條第一款之規定����,給予該企業警告�����,并責令限期改正����。
2023年3月��,湖南省永州市東安縣公安局網安部門在查辦一起侵犯公民個人信息案件中發現某小區業主信息泄露線索���,隨即對小區所屬物業公司發起“一案雙查”�。
經查�����,該公司使用的人臉識別系統�、車輛管理系統中明文存有6000余名業主姓名�����、電話��、身份證號�、銀行賬戶等敏感數據信息�����。
同時�,人臉識別系統���、車輛管理系統均存在登錄賬號弱口令,賬號未設置權限管理��,存放用戶數據的辦公電腦使用向日葵遠程控制軟件進行操作�����,且未采取任何安全防護措施�,未履行數據安全保護義務����。
永州東安縣公安局根據《數據安全法》第二十七條��、第四十五條第一款之規定��,給予該公司警告�,并責令限期改正�����。
2023年3月�����,湖南省懷化市沅陵縣公安局網安部門通過工作發現轄區某燃氣公司繳費系統存有大量客戶姓名����、電話�、身份證號����、家庭住址等敏感數據�。
經查�,該公司辦公電腦未設置開機密碼�,繳費系統賬號密碼均為弱口令��,并且該企業未制定數據安全管理制度����、未充分落實網絡安全等級保護制度����。
懷化沅陵縣公安局根據《數據安全法》第二十七條�、第四十五條第一款之規定�����,給予該企業警告���,并責令限期改正�。
3月13日�����,邵東市網信辦和市公安局網絡安全保衛大隊民警對轄區單位開展網絡安全和數據安全檢查時���,發現轄區內兩家單位疑似存在數據泄露風險���,開具兩張罰單�!經查����,兩家單位沒有制定數據安全管理制度和操作規程�,沒有對單位員工開展正規的數據安全教育培訓��,沒有采取任何防篡改����、防泄漏�、防侵入等技術措施�,用戶個人信息數據存在泄露風險����。根據《中華人民共和國數據安全法》第四十五條和《湖南省網絡安全和信息化條例》第二十六條�、三十三條�����、第五十五條之規定���,邵東市網信辦聯合市公安局對未履行數據安全保護義務的這兩家單位負責人進行約談�����,對兩家單位依法予以行政警告處罰����,要求切實履行主體責任��,及時清理處置網絡安全隱患����。兩家單位負責人均表示接受處罰并且立即按要求整改到位�����。2021年9月1日起,《中華人民共和國數據安全法》正式施行����。開展數據處理活動���,應該重點了解并遵守以下法律規定:
第二十七條
開展數據處理活動應當依照法律�����、法規的規定�,建立健全全流程數據安全管理制度���,組織開展數據安全教育培訓��,采取相應的技術措施和其他必要措施����,保障數據安全�。
利用互聯網等信息網絡開展數據處理活動���,應當在網絡安全等級保護制度的基礎上�,履行上述數據安全保護義務�。
重要數據的處理者應當明確數據安全負責人和管理機構�����,落實數據安全保護責任�。
第四十五條
開展數據處理活動的組織�、個人不履行本法第二十七條�、第二十九條��、第三十條規定的數據安全保護義務的��,由有關主管部門責令改正���,給予警告����,可以并處五萬元以上五十萬元以下罰款��,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款���;拒不改正或者造成大量數據泄露等嚴重后果的����,處五十萬元以上二百萬元以下罰款��,并可以責令暫停相關業務�、停業整頓�、吊銷相關業務許可證或者吊銷營業執照���,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款�����。
違反國家核心數據管理制度��,危害國家主權�����、安全和發展利益的�����,由有關主管部門處二百萬元以上一千萬元以下罰款�����,并根據情況責令暫停相關業務����、停業整頓�����、吊銷相關業務許可證或者吊銷營業執照���;構成犯罪的�����,依法追究刑事責任�。
《數據安全法》作為我國首部數據安全領域的基礎性立法��,以總體國家安全觀為立法目標����,聚焦數據安全領域的突出問題�����,確立了數據分類分級管理��,建立了數據安全風險評估�����、監測預警����、應急處置��,數據安全審查等基本制度����,并明確了相關主體的數據安全保護義務�。
全國公安機關將依法嚴厲打擊整治涉數據安全領域違法犯罪活動和各類亂象��,堅決筑牢數據安全保護屏障����。
來源:公安部網安局�、等級保護測評
