近日,广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现,北海某网站存在数据泄露问题,网站约22万个人信息数据被挂在境外论坛售卖。
经查,涉案公司主要提供网上咨询服务,建设有一网站,在日常工作中收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。
公司网站服务器安全防护措施不足,仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御,网站存在被多个境外IP攻击入侵的情况。
此外,公司未采取数据加密等有效的技术保护措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失,且在发现公司发生个人信息泄露的情况下,未及时告知用户和主动向公安机关报告。
该公司还存在网站日志只存储30日,网络日志留存不足六个月及相关安全管理制度缺失等问题。
对此,广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定,对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。
同时,北海网安部门应用网络与信息安全信息通报机制,将该案例通报各党政机关单位,监督指导其落实主体责任,提升网络安全保护能力和水平。
下一步,公安机关将继续严格落实《网络安全法》《数据安全法》及《关键信息基础设施安全保护条例》等法律法规要求,全方位加强网络安全监督检查,持续高压严打违法行为,监督指导网络运营者依法履行安全保护责任和义务,做好源头防控,减少违法犯罪发生,坚决维护国家网络安全和数据安全。
来源:广西网安