商丘市互聯網信息辦公室依法查處2起網絡違法案件

商丘市互聯網信息辦公室

對兩家單位未履行網絡安全和數據安全保護義務作出行政處罰

爲加強網絡安全和數據安全管理，壓實屬地網絡運營者網絡安全、數據安全主體責任，商丘市互聯網信息辦公室全面開展網絡安全風險隱患排查，加大網絡執法力度，築牢網絡安全防線。近日，商丘市互聯網信息辦公室依法查處2起網絡違法案件。

案例一：某醫療機構未履行網絡安全保護義務案

商丘市互聯網信息辦公室接到案件轉辦線索，屬地某醫療機構未制定內部安全管理制度，沒有定期開展網絡漏洞掃描，OA辦公系統存在多項安全隱患，導致系統出現容易造成個人信息和數據泄漏的安全漏洞，且未及時處置相關網絡安全風險，違反了《中華人民共和國網絡安全法》第二十一條、第二十五條之規定。

2024年6月20日，商丘市互聯網信息辦公室依據《中華人民共和國網絡安全法》第五十九條第一款規定，對該單位作出責令整改，給予警告的行政處罰。

案例二：某學校未履行數據安全保護義務案

商丘市互聯網信息辦公室在工作中發現，屬地某學校運營的“閱卷系統”存在XSS跨站腳本攻擊和SQL注入漏洞，且未建立數據安全管理制度，未組織數據安全教育培訓，未採取相應技術措施保障數據安全，未對其數據處理活動開展風險監測和定期風險評估，存在系統數據泄露風險，違反了《中華人民共和國數據安全法》第二十七條、第二十九條之規定。

2024年10月22日，商丘市互聯網信息辦公室依據《中華人民共和國數據安全法》第四十五第一款規定，對該學校作出責令改正，給予警告的行政處罰。

依據相關法律法規，網絡運營者應增強法律意識，嚴格履行主體責任，完善網絡安全防護技術措施，切實維護網絡安全和數據安全。下一步，商丘網信系統將持續加大網絡安全、數據安全和個人信息保護領域執法力度，依法查處違法違規行爲，保障公民合法權益，營造安全網絡環境。

網信普法

《中華人民共和國網絡安全法》

第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；

（二）採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行爲的技術措施；

（三）採取監測、記錄網絡運行狀態、網絡安全事件的技術措施，並按照規定留存相關的網絡日誌不少於六個月；

（四）採取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

第二十五條 網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時，立即啓動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

《中華人民共和國數據安全法》

第二十七條 開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，採取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。

重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

第二十九條 開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即採取補救措施；發生數據安全事件時，應當立即採取處置措施，按照規定及時告知用戶並向有關主管部門報告。

第四十五條 開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以並處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重後果的，處五十萬元以上二百萬元以下罰款，並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

來源：執法科

終審：南天鬆

複審：吳秀麗

初審：王千一

商丘市委網信辦發佈

關注網信商丘 瞭解權威發佈

留言