爱东营讯 如今,信息技术的快速发展和广泛应用在为人们的生产生活带来便利的同时,也带来了众多网络和数据安全隐患。习近平总书记强调,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”维护网络安全和数据安全没有旁观者,需要全社会的共同参与。
案例一 公司网络安全保护义务落实不到位
【案例简介】
2021年5月,经监测发现,某市一集团公司的信息系统遭到境外黑客组织网络攻击,系统页面被篡改并植入有害信息。该市市委网信办会同市公安局等部门第一时间进行处置,有效防止了不良影响扩散,未造成重大社会影响。经调查,该集团公司未落实网络安全防护要求,未建立网络安全事件应急预案,信息系统存在安全漏洞,被黑客入侵篡改相关页面。事后,市委网信办会同有关部门对该企业有关负责人进行约谈,公安机关依法对该集团公司处以罚款2万元的行政处罚并责令整改。
【法律依据】
《中华人民共和国网络安全法》第二十一条、二十五条、五十九条规定第一款
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第五十九条第一款 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
【典型意义】
网络运营者应当依法依规落实网络安全保护责任,履行网络安全保护义务,采取网络安全防范技术措施,制定网络安全事件应急预案,否则,将被依法追究其法律责任。
案例二 公司泄露敏感数据
【案例简介】
2023年5月,某市公安网安部门发现,某公司为某市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。公安机关依法对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。当地纪委监委也对建设单位主要负责同志、部门负责人等进行问责。
【法律依据】
《中华人民共和国数据安全法》第二十七条 第二十九条 第四十五条第一款
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第四十五条第一款 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款。并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
【典型意义】
在数字化建设中存在外包活动时,委托单位承担网络和数据安全主体责任。被委托开展数据处理活动的企业应当依法依规履行数据安全保护义务,采取保障数据安全的技术措施,并按要求开展数据安全风险监测等。否则,将被依法追究其法律责任。
案例三 企业未履行 数据安全保护义务
【案例简介】
2023年5月,某市网信部门接到通报,某企业运营的OA系统疑似遭黑客组织攻击并植入木马病毒,主机存在受控的风险。经核查,该公司的OA系统和服务器内存储了大量敏感数据,但该公司履行数据安全保护义务不到位,OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序,并且在发现数据安全漏洞风险和事件时未采取补救措施,网信部门依法对该公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。
【法律依据】
《中华人民共和国数据安全法》第二十七条 第二十九条 第四十五条第一款 (同案例二)
【典型意义】
《中华人民共和国数据安全法》第二十七条 第二十九条 第四十五条第一款 (同案例二) 随着数字经济的进一步发展,数据成为一种更加宝贵的资源,数据安全也面临更大的挑战。开展数据处理活动的企业应当依法依规履行数据安全保护义务,采取保障数据安全的技术措施,按要求开展数据安全风险监测,发现数据安全事件时应采取补救措施并报告主管部门。否则,将被依法追究其法律责任。
(记者 徐垒垒)
第八十九期供稿:东营市委网信办