罚款20万！广西某公司违反《网络安全法》

近日，广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现，北海某网站存在数据泄露问题，网站约22万个人信息数据被挂在境外论坛售卖。

经查，涉案公司主要提供网上咨询服务，建设有一网站，在日常工作中收集了个人和企业等大量公民信息，但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。

公司网站服务器安全防护措施不足，仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御，网站存在被多个境外IP攻击入侵的情况。

此外，公司未采取数据加密等有效的技术保护措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，且在发现公司发生个人信息泄露的情况下，未及时告知用户和主动向公安机关报告。

该公司还存在网站日志只存储30日，网络日志留存不足六个月及相关安全管理制度缺失等问题。

对此，广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。

同时，北海网安部门应用网络与信息安全信息通报机制，将该案例通报各党政机关单位，监督指导其落实主体责任，提升网络安全保护能力和水平。

下一步，公安机关将继续严格落实《网络安全法》《数据安全法》及《关键信息基础设施安全保护条例》等法律法规要求，全方位加强网络安全监督检查，持续高压严打违法行为，监督指导网络运营者依法履行安全保护责任和义务，做好源头防控，减少违法犯罪发生，坚决维护国家网络安全和数据安全。