9月6日,国家互联网信息办公室发布了对知网(CNKI)涉嫌违法处理个人信息行为的立案调查结果。经查实,知网(CNKI)三家主体公司运营的手机知网、知网阅读等14款App存在违反《网络安全法》《个人信息保护法》《行政处罚法》等法律法规行为,现已依法对知网(CNKI)作出责令停止违法处理个人信息行为,并处人民币5000万元罚款决定。
同样是9月6日,公安部网安局公众号发文披露,至《数据安全法》施行近两年来,江苏公安机关网安部门聚焦信息数据泄露、滥用、篡改等行业领域问题乱象,加大监督检查、通报预警和行政执法力度。而在接下来的描述中我们看到的是:警方严厉惩治不履行数据安全保护义务的违法行为,全面压紧压实网络运营单位数据安全主体责任,已累计依据《数据安全法》办理行政案件336起。
在该推文下,警方公布了五家受处罚的企业违规《数据安全法》的具体案例,包括宿迁某医学检验机构不履行数据安全保护义务案、成都某科技有限公司不履行数据安全保护义务案、泰州某不动产登记中心和北京某科技发展研究中心不履行数据安全保护义务案、盐城某医药公司不履行数据安全保护义务案、南通某科技有限公司不履行数据安全保护义务案。
2023年至今,先后已有多家企业单位因违反相关法律法规遭受监管执法处罚。
如最近南昌两所高校先后遭到监管处罚:根据通报,一家高校是未履行网络安全保护义务,未开展等保测评等相关工作,存在网络安全管理失责等问题,造成高校所属IP被控,并向外发起频繁攻击;另一则通报则是某高校因发生数据泄露事件,且触发《数据安全法》“造成大量数据泄露等严重后果”条款,被监管部门处以责令改正、警告并处80万元高额罚款。
回顾一年以来更多的典型监管执法案例如下:
重庆市网信办依据《数据安全法》对属地一科技公司作出责令限期改正,给予行政警告,并处10万元罚款的行政处罚;
江西赣州一公司因未保障数据安全被罚15万;
江西某股份有限公司因履行数据安全保护义务不到位被监管单位依法处以警告、罚款50万元;
江苏某老凤祥黄金店因未采取必要措施保障数据安全等被公安警告;
江苏淮安一家足浴店因未采取数据安全保障措施等被责令整改、警告;
湖南某商贸公司因未履行数据安全保护义务,被监管部门依法予以行政处罚;
湖南衡南某医院未履行数据安全保护义务,造成部分数据泄露,被监管部门依法作出责令整改、罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款;
安徽某房地产公司因未履行数据安全保护义务,导致大量数据信息面临泄露的重大风险,被处以警告并对直接责任人处以罚款行政处罚;
浙江某科技公司因为浙江某县级市政府开发运维信息管理系统,未经授权将采集到的敏感业务数据擅自上传到公有云服务器上,且未采取安全保护措施,造成数据泄露。根据《数据安全法》第45条,执法机构对该公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。
……
以上为公开披露的处罚事件,且并未完全统计。但从以上监管执法案例来看,监管处罚范围和处罚力度都在不断加大。出了事是真罚,不仅企业自身需要合规,参与企业信息化建设的乙方单位同样需要在参与技术运维过程中负有责任。这也意味着企业必须夯实责任,做好整体统筹,与其承担事后的违规责任,不如投资于事前的安全建设。
但对于绝大多数企业而言,做好网络安全工作仍然极具挑战。大型企业主要困境为IT系统较为复杂,如何固守城池又能找出问题短板是其IT团队的主要挑战,中小企业主要挑战则来自运营成本上的提升,网络安全是需要花钱的,如何找到适合自身业务逻辑的解决方案尤为关键。
从监管执法的普遍性来看,将推动网络安全大市场的进一步增长,另一方面咨询服务市场未来将会迎来机会,将直接指导中小企业如何构建有效的、贴近实战化的网络安全合规方案,以避免遭受处罚。
京公网安备 11010802033237号
