《数据安全法》处罚案例:浙江某科技企业违规泄露政府数据被罚 100 万
2023 年 3 月,浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至自身租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。
浙江温州公安机关根据《数据安全法》第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款 100 万元、8 万元、6 万元的行政处罚。
值得一提是,本案不仅处罚了数据泄露引起方,还连累了甲方建设单位。最终,该单位因失管失察、未履行数据安全保护职责的情况,当地纪委监委依照《温州市党委(党组)网络安全工作责任制实施细则》规定,对建设单位主要负责同志、部门负责人等 4 人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。
基于数据安全的重要性,国内不仅对造成数据泄露的主体加大处罚力度,对于没有尽到自身数据保护义务的实体组织,也加大监管力度。
山东某信息科技有限公司不履行网络安全保护义务案
济南网安在巡查中发现山东某信息科技有限公司主机疑似数据被窃取。经现场取证,该公司涉事主机 3306 端口开放 Mysql 数据库服务,存在未授权访问漏洞,导致数据库被拖库,查明该公司存在未采取防范网络攻击、网络侵入等危害网络安全行为的技术措施,未留存监测、记录网络运行状态的网络日志信息等违法情形,致使数据库被拖库造成数据泄露。公安机关依法对该公司及具体运维人员予以行政处罚。
