《数据安全法》处罚案例：北海某公司因泄露约 22 万条民众数据信息被罚

广西北海公安局接到辖区内某网站存在数据泄露问题的线报，涉案公司建设有一个主要提供网上咨询服务的网站，收集了个人和企业等大量公民信息，但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作的要求落实网络安全保护主体责任。

此外，该网站服务器安全防护措施不足，存在被多个境外 IP 攻击入侵的情况。对于明显存在的数据安全风险，涉案公司未采取数据加密等有效的技术保护措施，来确保其储存的信息安全，导致约 22 万条个人信息数据被挂在境外论坛售卖。

更为可恨的是，该公司发现个人信息泄露后未及时告知用户，也未主动向公安机关报告，并且还存在网络日志留存不足 6 个月及相关安全管理制度缺失等问题。

对此，北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定（网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。）对涉案公司及其直接负责人分别作出罚款 20 万元、3 万元的行政处罚。