近期,广西北海公安局接到辖区内某网站存在数据泄露问题的线报,涉案公司建设有一个主要提供网上咨询服务的网站,收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作的要求落实网络安全保护主体责任。
此外,该网站服务器安全防护措施不足,存在被多个境外 IP 攻击入侵的情况。对于明显存在的数据泄露风险,涉案公司未采取数据加密等有效的技术保护措施,来确保其储存的信息安全,导致约 22 万条个人信息数据被挂在境外论坛售卖。
更为可恨的是,该公司发现个人信息泄露后未及时告知用户,也未主动向公安机关报告,并且还存在网络日志留存不足 6 个月及相关安全管理制度缺失等问题。
对此,北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定(网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。)对涉案公司及其直接负责人分别作出罚款 20 万元、3 万元的行政处罚。
(来源:光明网)