咨询律师 找律师 案件委托   热门省份: 北京 浙江 上海 山东 广东 天津 重庆 江苏 湖南 湖北 四川 河南 河北 110法律咨询网 法律咨询 律师在线 法律百科
我的位置:110网首页 >> 资料库 >> 案例分析 >> 经济类案例 >> 知识产权案例 >> 查看资料

数据安全法首例企业被罚|安全漏洞遭不法分子利用广州一公司被罚款5万元

发布日期:2022-07-27    作者:张晓晗律师

广州市公安局26日通报,广州一家技术公司在开发一款App系统后,因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1000余万条公民个人信息面临泄露风险,被警方行政立案,罚款5万元。这是广东警方适用《中华人民共和国数据安全法》的首批案例之一。


1.案件内容


新华社广州7月26日电(记者毛鑫)广州市公安局26日通报,广州一家技术公司在开发一款App系统后,因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1000余万条公民个人信息面临泄露风险,被警方行政立案,罚款5万元。这是广东警方适用《中华人民共和国数据安全法》的首批案例之一。
  据通报,从2021年10月下旬开始,广州市某公司陆续收到投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员不到现场练车就能在系统累积练车学时,从而达到监管部门对驾考练车的学时要求。
  广州警方经研判,挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统,将虚假的培训数据包发送至平台服务器,对学员的学时进行修改,以帮助学员快速完成培训。
  5月12日,广州警方抓获包括技术开发和代理在内的3名犯罪嫌疑人。经初步统计,该案共涉及30余家驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。
  广州市公安局天河区分局网警大队大队长说,在刑事打击的同时,警方启动一案双查,对该公司未履行数据安全保护义务的违法行为进行行政立案处罚。
  据其介绍,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万条,但该公司没有建立数据安全管理制度和操作规程,对采集到的个人信息未采取去标识化和加密措施,且系统存在未授权访问漏洞等严重数据安全隐患。
  “上述问题隐患层层叠加,而系统平台一旦被不法分子突破窃取,将导致大量学员个人信息泄露,给广大人民群众个人利益造成重大影响。”。
  上述案件是广州警方上半年查处的网络违法犯罪典型案例之一。据通报,今年上半年,广州警方严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪,共侦破网络主侦案件160余起,依法刑事拘留400余人;对25万个网站开展专项排查,走访检查重点单位934家次,循环检测1000余个重要信息系统,发现并通报400余个安全隐患;对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。


2.案件说明
违反国家规定,擅自提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者非法获取计算机信息系统数据的行为涉嫌违法犯罪,切勿以身试法。驾校学员切勿贪图一时方便,使用来历不明的程序绕过驾考练车线上学习,可能存在个人信息被倒卖的风险。

根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。
网络安全事关国家安全,所有单位与个人都有保护数据安全的责任与义务,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。


3.律师建议
大数据安全一直是企业关注的问题,因为一次攻击可能会使大数据部署容易遭受攻击。大数据展示了4v,也就是体积、种类、速度、准确性。由于其众多的优势,大数据应用有无数种,从银行、医疗、保险、养老金到政府诉讼。企业中的每一块数据都是至关重要的,安全管理数据也亦如此。大数据安全是当今任何行业都面临的主要问题之一,这导致组织使用更具可扩展性的工具来满足安全限制。
大数据技术会摄取大量数据,这会给数据库安全带来重大风险,这可能会导致数据泄露,比如信用卡信息、银行信息和各种其他个人信息,这些信息的被盗可能会造成毁灭性的后果。这些数据泄露可能导致终端用户不信任企业。这凸显了对可扩展的大数据工具的需求,这将减少这些数据盗窃。大数据安全的目的是为未经授权的用户建立防火墙,以及用户身份认证,并确保终端用户的培训。此外,它的目标是提供在所有数据阶段运行的入侵保护系统和入侵检测系统。
(1)安全的分布式计算框架
Spark、Hadoop、MPI等分布式计算框架存在相当大的数据泄漏风险。此外,它们还可能与不受信任的映射器关联。云安全联盟(CSA)建议企业使用认证方法并建立信任。此外,必须反复灌输去识别,以确保隐私限制。然后,企业必须验证对文件的访问权限,并确保敏感数据不会以任何方式泄露。
(2)安全数据存储
为了提高大数据的安全性,必须保证数据的安全存储。为了保护数据存储,必须使用一种称为安全不可信任数据存储库的技术,监视来自第三方代理的未经授权的更改。
(3)数据验证
虽然企业通过吸收大量数据来改进其服务,但收集数据是一项艰巨且昂贵的任务。为了保护您的数据,企业必须使用防火墙安全、入侵检测和预防工具、扫描工具,并要求对所有数据访问进行验证。
(4)检查审计
审计是大数据安全的必经之路,对审计数据要单独维护,以备日后参考。在任何攻击后,企业都必须进行全面审计,以检查运行是否正常。像ApacheOozie等技术有助于更好地理解大数据集群。
(5)安全的硬件和软件配置
在任何企业中,硬件或软件故障都是导致数据丢失的重要原因之一。因此,企业必须通过定期更新来管理硬件和软件配置。防止数据泄露是企业文化中不断灌输的一个过程,即使用可扩展的大数据分析工具。企业必须保护自己的大数据平台不受威胁,才能多年不间断地为企业服务。

总之,在数字化浪潮下,网络安全不再是企业未雨绸缪的布局,外部环境变化和企业自身的发展需求,推动安全技术的应用不断演进升级成企业维持日常生产运营必备的重要保障。企业需要从技术和法律层面持续加大对网络安全的投入,定制设置数据安全合规,才能保证企业持续健康发展。

没找到您需要的? 您可以 发布法律咨询 ,我们的律师随时在线为您服务
  • 问题越详细,回答越精确,祝您的问题早日得到解决!
发布咨询
发布您的法律问题
推荐律师
高飞律师
陕西西安
马云秀律师
广东深圳
陈皓元律师
福建厦门
王高强律师
安徽合肥
王远洋律师
湖北襄阳
吴丁亚律师
北京海淀区
刘海鹰律师
辽宁大连
罗雨晴律师
湖南长沙
高宏图律师
河北保定
热点专题更多
免费法律咨询 | 广告服务 | 律师加盟 | 联系方式 | 人才招聘 | 友情链接网站地图
载入时间:0.03827秒 copyright©2006 110.com inc. all rights reserved.
版权所有:110.com