-
《数据安全法》处罚案例:邵东某专科医院门诊信息未加密被处罚
2023年3月13日,邵东市公安局网络安全保卫大队民警对辖区单位开展网络安全和数据安全检查,在检查中发现某二类专科医院和某疫苗接种门诊没有制定数据安全管理制度和操作规程,没有对单位员工开展正规的数据安全教育培训,没有采取任何防篡改、防泄漏、防侵入等技术措施,没有对采集到的居民个人信息采取去标识化和加密措施,系统存在弱口令密码等严重数据安全隐患,均违反了《中华人民共和国数据安全法》第二十七条之规定。 根据《中华人民共和国数据安全法》第四十五条之规定,邵东市公安局对未履行数据安全保护义务的这两家单位…
-
《数据安全法》处罚案例:疑遭黑客攻击,江西某公司被罚款50万
2023年4月13日,接上级网信部门通报,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒,主机存在受控的风险。 当日,南昌市互联网信息办公室决定立案调查并派执法人员开展案件调查工作。 经过现场勘验、抽样取证、远程勘验(样本技术分析)、笔录问询等程序,查明: ①该公司的OA系统和服务器内存储了大量敏感数据,但该公司履行数据安全保护义务不到位,OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序,相关行为违反了《中华人民共和国数据安全法》第二十七条规定; ②该公司…
-
《数据安全法》处罚案例:物业公司存在信息泄露风险,被责令限期更改
湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件时发现某小区业主信息泄露线索,随即对小区所属物业公司发起“一案双查”。 经查,该公司使用的人脸识别系统、车辆管理系统中明文存有 6000 余名业主姓名、电话、身份证号、银行账户等敏感数据信息。 同时,人脸识别系统、车辆管理系统均存在登录账号弱口令,账号未设置权限管理,存放用户数据的办公电脑使用向日葵远程控制软件进行操作,且未采取任何安全防护措施,未履行数据安全保护义务。 永州东安县公安局依据《数据安全法》第二十七条、第四十五条第一款之…
-
《数据安全法》处罚案例:湖南长沙某公司存在数据泄露风险,被罚 5 万元
2023 年 2 月,湖南省长沙市公安局岳麓分局网安部门工作发现辖区内某电商平台存在数据泄露的隐患,迅速组织专业技术人员调取该公司日志并约谈单位相关责任人员。 经查,该企业服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。 通过进一步核实,该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。最后,长沙市公安局岳麓分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款 5 万元,对直接责任人处罚款 1 万元,责令限期改正。
-
《数据安全法》处罚案例:株洲某软件学校网站致使学生数据存在暴露风险
2023 年 3月,株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某软件学校网站存在短文件名泄露漏洞。 经网安大队检查发现,该网站系统中存在大量学生姓名、身份证号、电话号码、家庭住址等敏感信息。 针对该学校未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,存在数据泄露风险的现象。 株洲市公安局荷塘分局根据《数据安全法》第 45 条第一款,给予该学校警告,并责令限期改正。
-
《数据安全法》处罚案例:泰州某企业未履行关键数据保护,被处罚 5 万元
泰州某企业未履行关键数据保护,被处罚 5 万元 江苏泰州公安网安部门发现当地某不动产登记中心的“业务练兵系统”存在 Elasticsearch 未授权访问安全漏洞,且未建立全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的 24 万余条业务数据泄露,涉嫌未履行数据安全保护义务。 查获案件详情后,泰州公安机关依据《数据安全法》第 45 条规定,对该不动产登记中心予以行政警告并责令改正,对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款 5 万元。 某软件公司未履…
-
《数据安全法》处罚案例:浙江某科技企业违规泄露政府数据被罚 100 万
2023 年 3 月,浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至自身租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。 浙江温州公安机关根据《数据安全法》第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款 100 万元、8 万元、6 万元的行政处罚。 值得一提是,本案不仅处罚了数据泄露引起方,还连累了甲方建设单位。最终,该单位因失管失察、未履行数据安全保护职责的情况,当地纪…
-
《数据安全法》处罚案例:北海某公司因泄露约 22 万条民众数据信息被罚
广西北海公安局接到辖区内某网站存在数据泄露问题的线报,涉案公司建设有一个主要提供网上咨询服务的网站,收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作的要求落实网络安全保护主体责任。 此外,该网站服务器安全防护措施不足,存在被多个境外 IP 攻击入侵的情况。对于明显存在的数据安全风险,涉案公司未采取数据加密等有效的技术保护措施,来确保其储存的信息安全,导致约 22 万条个人信息数据被挂在境外论坛售卖。 更为可恨的是,该公司发现个…
-
《数据安全法》处罚案例:南昌某高校因 3 万余条师生个人信息数据泄露被罚
2023 年 8 月,接到网友举报南昌某高校 3 万余条师生个人信息数据在境外互联网上被公开售卖的消息后,南昌公安网安机构立刻组织人员展开调查,最终成功抓获犯罪嫌疑人 3 名。 同时,公安机关对涉案高校不履行数据安全保护义务违法行为开展执法检查。 经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施以保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等 3000 余万条信息的数据库被黑客非法入侵,其中 3 万余条教职工、学生个人敏感信息数…
-
《纽约时报》泄露270G数据,包含内部源代码
据BleepingComputer消息,属于《纽约时报》的内部源代码和其他数据于6月6日被一匿名用户泄露至 4chan论坛,文档大小为270GB。 这名匿名用户发帖称,”大约有 5000 个存储库(我认为其中不到 30 个是额外加密的),总共 360 万个文件,未压缩的 tar。“ 虽然BleepingComputer没有下载存档,但匿名者共享的文本文件包含了从该公司的 GitHub 存储库中窃取的 6223 个文件夹的完整列表。文件夹名称显示,被盗信息种类繁多,包括 IT 文档、基础架构工具和…
