某协会因数据库漏洞 导致会员个人信息外传被处罚

2024年7月3日，据湖南永定公安报道：大数据实战中心接上级通报，辖区内的某协会相关数据库存在漏洞被人利用导致大量会员个人信息外传。接到指令后，张家界市公安局网技支队与分局大数据实战中心对该问题进行联合查处于7月5日传唤该协会法人王某成。

经查，该协会未采取技术措施和其他必要措施确保其收集的个人信息安全导致信息泄露根据《中华人民共和国网络安全法》第六十四条之规定依法对张家界某协会罚款3万元协会法人王某成罚款1万元。

以案说法

通过上述案例，我们能看到：随着数字化的不断发展，个人信息在为经济社会发展带来机遇的同时，也面临着滥用和无边界收集的风险。

网络运营者

基于个人信息保护面临的种种挑战，为更好地惩治和预防违法处理行为，《中华人民共和国网络安全法》对于网络运营者规定了严格的法律责任。

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

监管部门

同样，在大数据时代，个人信息保护权已经成为一项重要的基本权利。行政机关监管作为个人信息保护权的第三大支柱，与赋予信息主体权利、强化信息处理者义务同样重要。根据《中华人民共和国数据安全法》第六条之规定，监管部门的义务如下：

• 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

• 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

• 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

• 国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。