广东首例!某公司未履行数据安全保护义务被立

发布日期:2022-07-29 14:40  浏览量:

广东首例!某公司未履行数据安全保护义务被立案处罚

7月26日,广州市公安局新闻办公室召开新闻发布会,通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件——某技术公司在开发一款App系统后,因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1000余万条公民个人信息面临泄露风险,被警方行政立案,罚款5万元。


据通报,从2021年10月下旬开始,广州市某公司陆续收到投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员不到现场练车就能在系统累积练车学时,从而达到监管部门对驾考练车的学时要求。

 

广州警方经深入研判,挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统,将虚假的培训数据包发送至平台服务器,对学员的学时进行修改,以达到帮助学员快速完成培训和驾校快速盈利的目的。该团伙的非法行为,严重危害道路交通安全,情节十分恶劣。

 

今年5月12日,广州警方开展收网行动,抓获包括技术开发和代理在内的3名犯罪嫌疑人,现场缴获一批用于实施破坏信息系统行为的计算机设备。经初步统计,该案共涉及30余间驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。目前,案件正在进一步侦办中。

 

在刑事打击非法入侵驾培系统代刷学时案的同时,广州警方对此案启动“一案双查”。针对该公司的网络系统全面开展网络安全和数据安全检查,对该公司未履行数据安全保护义务的违法行为进行行政立案处罚。

 

广州警方检查发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子攻击窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。

 

根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。警方提醒,网络安全事关国家安全,所有单位与个人都有保护数据安全的责任与义务,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。

 

上述案件是广州警方上半年查处的网络违法犯罪典型案例之一。今年上半年,广州警方严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪,共侦破网络主侦案件160余起,依法刑事拘留400余人;对25万个网站开展专项排查,走访检查重点单位934家次,循环检测1000余个重要信息系统,发现并通报400余个安全隐患;对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。