【案情簡介】

2024年8月19日，湖南省互聯(lián)網(wǎng)應(yīng)急中心巡查發(fā)現(xiàn)，湖南某信息技術(shù)有限公司存在大規(guī)模個(gè)人信息泄露風(fēng)險(xiǎn)。為保護(hù)我省網(wǎng)絡(luò)數(shù)據(jù)安全，維護(hù)公民個(gè)人信息權(quán)益，省網(wǎng)信辦依法對(duì)此情況開展調(diào)查。

【調(diào)查與處理】

收到相關(guān)線索后，省網(wǎng)信辦依法開展立案調(diào)查，對(duì)公司法定代表人委托人黃某、具體技術(shù)負(fù)責(zé)人劉某等進(jìn)行調(diào)查詢問。經(jīng)查，湖南某信息技術(shù)有限公司未對(duì)其所屬數(shù)據(jù)庫進(jìn)行有效管理，未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，存在未授權(quán)訪問漏洞，涉及大量敏感個(gè)人信息，存在泄漏風(fēng)險(xiǎn)，違反了《網(wǎng)絡(luò)安全法》第二十一條、《數(shù)據(jù)安全法》第二十七條和《湖南省網(wǎng)絡(luò)安全和信息化條例》第二十六條。鑒于當(dāng)事人主動(dòng)承認(rèn)錯(cuò)誤，能夠積極配合整改，根據(jù)《數(shù)據(jù)安全法》第四十五條和《湖南省網(wǎng)絡(luò)安全和信息化條例》第五十五條，省網(wǎng)信辦對(duì)其公司作出警告，并對(duì)公司和直接負(fù)責(zé)的主管人員及直接責(zé)任人分別作出罰款5萬元、2萬元、1萬元的處罰。

【法律分析】

該公司主要從事健康服務(wù)軟件開發(fā)運(yùn)營等業(yè)務(wù)，涉事平臺(tái)支撐業(yè)務(wù)重要、服務(wù)面廣、數(shù)據(jù)量大且敏感，但現(xiàn)有安全防護(hù)極為薄弱，僅購買基礎(chǔ)版安全防護(hù)模塊，無WAF、IPS、日志審計(jì)等安全防護(hù)，且安全策略不完善、安全日志嚴(yán)重缺失，面臨的網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)高，可能導(dǎo)致大量敏感個(gè)人信息泄露。其違反了《網(wǎng)絡(luò)安全法》第二十一條、《數(shù)據(jù)安全法》第二十七條和《湖南省網(wǎng)絡(luò)安全和信息化條例》第二十六條關(guān)于網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)的明確規(guī)定。該公司這一個(gè)行為同時(shí)觸犯了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》兩個(gè)相關(guān)法律條款，最后適用處罰較重的《數(shù)據(jù)安全法》第二十七條和《湖南省網(wǎng)絡(luò)安全和信息化條例》第二十六條進(jìn)行處罰。

【典型意義】

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《湖南省網(wǎng)絡(luò)安全和信息化條例》，對(duì)履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)，做出了明確規(guī)定。該案例是省網(wǎng)信辦首例適用《數(shù)據(jù)安全法》處罰的案例，體現(xiàn)了省網(wǎng)信辦高度重視、嚴(yán)肅查處相關(guān)違法違規(guī)行為的鮮明態(tài)度。全省網(wǎng)信部門將持續(xù)關(guān)注網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)，嚴(yán)肅查處網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)領(lǐng)域的違法違規(guī)行為，切實(shí)維護(hù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全和廣大網(wǎng)民的合法權(quán)益，全力構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

（文中涉案人物均為化名）

責(zé)編：曹曉林

一審：曹曉林

二審：喻志科

三審：熊佳斌

來源：新湖南客戶端