随著(zhe)各行業的(de)數字化(huà)轉型不斷深入,數據安全逐步進入法制化(huà)的(de)強監管時(shí)代。然而,由于人(rén)爲攻擊、技術漏洞和(hé)監管缺位等原因,各種數據洩露事件頻(pín)繁發生,企業數據安全威脅日益嚴峻。
以下(xià)是我對(duì)2023年第三季度安全事件的(de)總結,旨在警示正在進行數字化(huà)轉型的(de)企業,積極推進數據安全合規建設。
安全事件概述:
1.浦發銀行鄭州分(fēn)行被罰款90.8萬:浦發銀行鄭州分(fēn)行因違反多(duō)項規定,包括未按規定履行客戶身份識别義務、與身份不明(míng)的(de)客戶進行交易等,被處以90.8萬元罰款。
2.某南(nán)昌高(gāo)校被罰款80萬:南(nán)昌某高(gāo)校的(de)3萬餘條師生個(gè)人(rén)信息數據在境外互聯網上被公開售賣,涉及教職工信息、繳費信息等。南(nán)昌公安網安部門根據《中華人(rén)民共和(hé)國數據安全法》第45條的(de)規定,對(duì)該學校作出責令改正、警告,并處以80萬元人(rén)民币罰款的(de)處罰。該學校的(de)主要責任人(rén)被處以5萬元罰款的(de)處罰。
3.廣西某網站被罰款20萬元:廣西北(běi)海公安發現該網站存在數據洩露問題,約22萬個(gè)人(rén)信息數據被挂在境外論壇上售賣。該網站收集了(le)大(dà)量個(gè)人(rén)和(hé)企業的(de)公民信息,但服務器安全防護措施不足,對(duì)一些簡單攻擊手段進行防禦,且還(hái)存在被境外IP攻擊入侵的(de)情況。該網站未采取有效的(de)技術保護措施,也(yě)未及時(shí)告知用(yòng)戶和(hé)主動向公安機關報告。根據《網絡安全法》第42條的(de)規定,對(duì)該公司及直接負責人(rén)員(yuán)分(fēn)别處以20萬元、3萬元罰款的(de)行政處罰。
4.重慶市網信辦對(duì)違規行爲進行處罰:重慶市網信辦對(duì)一家科技公司依據《數據安全法》作出了(le)責令改正、行政警告,并處以10萬元罰款的(de)行政處罰。經審查發現,該公司在業務開展過程中收集、存儲、處理(lǐ)的(de)網絡數據量較大(dà),但未建立健全的(de)網絡數據安全管理(lǐ)制度,未組織網絡數據安全教育培訓,并沒有采取相應的(de)技術措施保障網絡數據安全。此外,該公司還(hái)存在數據庫數據洩露的(de)情況。
5.上海信息系統技術服務公司被處罰:上海市某信息系統技術承包商在将數據置于互聯網進行測試期間,其相關存儲端存在高(gāo)危漏洞,導緻大(dà)量公民數據洩露,成爲境外不法分(fēn)子竊取數據的(de)入口。上海市網信辦要求該公司下(xià)線網站頁面、關閉相關雲服務端口,并要求配合開展網絡資産清查。該公司也(yě)被處以行政處罰。
6.國家網信辦對(duì)中國知網進行處罰:國家網信辦對(duì)中國知網進行了(le)網絡安全審查,并處以5000萬元罰款的(de)行政處罰。經調查發現,在知網運營的(de)14款App中,包括手機知網和(hé)知網閱讀,存在違法行爲,如違反個(gè)人(rén)信息保護法、未經同意收集個(gè)人(rén)信息等。
截至2023年三季度,江蘇公安部門已經依據《數據安全法》處理(lǐ)了(le)336起行政案件。由此可(kě)見,對(duì)于企業來(lái)說,數據安全合規建設仍然是一個(gè)亟待解決的(de)問題。數據處理(lǐ)者應加強數據安全保護,并落實國家總體安全觀,切實履行數據安全保護義務。同時(shí),企業還(hái)應建立數據安全管理(lǐ)制度,維護國家安全和(hé)社會穩定。
爲了(le)幫助更多(duō)企業建設合法合規、統一高(gāo)效的(de)數據安全防護體系,迅軟科技現開展數據安全與數據管理(lǐ)系列保護企業數據安全是一個(gè)長(cháng)期的(de)過程。如果企業希望避免成爲下(xià)一次數據洩露事件的(de)受害者,就必須采取相應的(de)保護措施。
