近日,郑州市网信办公开通报了两起违反《数据安全法》的典型案例。两家涉事公司因未履行数据安全保护义务,导致大量敏感数据泄露,最终均被处以责令改正、警告及人民币5万元罚款的行政处罚。
对于广大企业,尤其是IT与安全负责人而言,这两起案例不仅是法律红线的警示,更是对企业基础安全管理工作的"敲门砖"。
事件回顾:
郑州市某互联网信息服务有限公司在进行数据库配置时,由于管理疏忽,增加了一个远程登录空口令账户。
这一低级配置错误如同为黑客打开了"后门"。
黑客利用该空口令账户轻松绕过身份验证,成功登录数据库并窃取了包含姓名、身份证号、手机号、邮箱地址等在内的大量敏感信息。
专家点评:
该案例暴露了企业在网络安全意识上的极端淡薄。
空口令、弱口令是网络攻防中最基础、最常见的漏洞。
在数据安全全流程管理制度缺失的情况下,即便配置了昂贵的安全设备,也会因为一个微小的配置疏忽导致全盘皆输。
事件回顾:
另一家被通报的某科技有限公司,则在数据库管理与审计留存上存在多项违法违规行为:
数据库配置失当:存在未授权访问漏洞,攻击者无需凭证即可直接查看、下载敏感数据。
日志管理缺失:系统访问日志功能未开启,且重要的通联日志留存不足六个月,导致事故发生后难以追溯调查。
脱敏机制缺位:数据库系统在存储及处理用户个人敏感信息时,未进行任何脱敏处理。
分类分级缺失:未按要求对企业重要数据进行分级分类管理。
专家点评:
如果说案例一是因为"门没锁",那么案例二则是"没锁门、没监控、没遮掩"。
根据《数据安全法》要求,企业不仅要"锁门",还要留存足够的审计证据,并对敏感内容进行物理意义上的"隔离"或"模糊化"。
在这两起案例中,郑州市网信办均依据《中华人民共和国数据安全法》第二十七条、第四十五条进行处罚。
- 第二十七条:要求开展数据处理活动应当建立健全全流程数据安全管理制度,采取相应的技术措施保障数据安全。
初次违法或情节较轻通常面临责令改正、警告及5万至50万元不等的罚款;若拒不改正或造成严重后果,罚款最高可达200万元,并可能面临停业整顿或吊销执照。
本次通报的5万元罚款属于法律规定的起步档位,这充分释放了一个信号:监管部门对数据安全违法行为的“零容忍”态度,且执法已常态化、精细化。
前车之鉴,后事之师。
面对日趋严格的监管环境,企业应尽快完成以下安全合规动作:
1. 完善全流程管理制度:不能仅有技术,更要有管理。建立从数据采集、存储、使用到销毁的全生命周期管理制度,责任落实到人。2. 落实网络安全等级保护(等保):在等保制度的基础上履行数据安全保护义务。定期进行配置核查,严禁出现“空口令”、“默认密码”及“未授权访问”接口。3. 强化审计与留存机制:严格按照法律要求,确保网络日志留存不少于六个月。日志不仅是合规要求,更是发生事故后定责及溯源的核心依据。4. 实施敏感数据脱敏:对姓名、身份证号、联系方式等个人敏感信息,在显示、传输、存储环节应采用加密或脱敏技术,降低数据一旦泄露后的社会危害性。5. 开展数据分类分级:明确企业资产中哪些是“重要数据”,哪些是“核心数据”,针对不同级别采取差异化的防护强度。数据安全关乎国家安全与人民群众利益,也是企业生存的底线。
郑州这两起案例再次提醒我们:安全无小事,合规即生命。
