近日,江苏公安执法公示平台公开了一份由江苏省淮安市公安局淮阴分局西坝派出所开具的行政处罚决定书(下称“决定书”),一家足浴店因未采取必要数据安全保障措施等被责令整改、警告。
行政处罚决定书
决定书显示,8月16日,西坝派出所的两位民警依法对一家名为六指情魔的足浴会所进行检查,发现该场所的电脑存储有顾客姓名、手机号码、身份证号码等敏感数据且未设置密码,未制定数据安全管理制度,未采取必要措施保障数据安全。
为此,西坝派出所根据我国《数据安全法》相关规定,决定对该足浴会所处以责令整改、警告的行政处罚。如不服决定,经营者可在收到决定书之日起六十日内申请行政复议或者在六个月内依法提起行政诉讼。
《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
该法第二十九条明确,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
在处罚方面,《数据安全法》第四十五条还明确,开展数据处理活动的组织、个人不履行上述三条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可根据情节严重程度处以不同额度罚款。
针对此事,南都记者第一时间联系了该案的执法民警,但未获回应。南都记者从该足浴店获悉,确有被要求整改一事,其接受处罚,但不方便透露更多信息。
“天眼查”公开资料显示,六指情魔足浴店目前处于存续状态。该店成立于2019年3月,属于个体工商户,此前曾涉一起服务合同纠纷。8月19日,南都记者在“美团”“大众点评”软件上搜索该足浴店,均显示其处于歇业闭店状态。
如今,数据已成为企业经营的重要组成部分,由于数据泄露、被非法使用等事件频发,企业更应重视数据安全。自2021年《数据安全法》施行以来,全国各地已有多起因企业未履行数据安全保护义务而被处罚的案例。
不过,南都记者梳理发现,此前被处罚的对象多为收集和处理数据体量较大的企业,所涉业务较广,包括互联网、商贸、水电、教育培训、通讯服务等。
据报道,今年4月,宁夏某地区网安大队在对某通讯店进行突击检查时,发现该店办公电脑未设置开机密码,未建立数据安全管理制度,未组织开展数据安全教育培训,最终对其予以行政警告处罚,责令限期整改。
去年7月,广州警方对一公司开发的“驾培平台”进行检查,发现其中存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司未建立数据安全管理制度和操作规程,对采集信息未采取去标识化和加密措施等。根据《数据安全法》,广州警方对其处以警告并罚款人民币5万元。
文|樊文扬
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。