某科技公司因数据泄露被顶格罚款30万元

前言

点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。

近日，四川某科技公司近日因购票系统数据泄露被顶格罚款30万元，直接责任人另处5万元罚金，成为四川省首例"双罚制"网络安全案件。

四川省网安部门在例行检查中发现一起严重的数据泄露事件，影响了成都一家科技公司的票务管理系统。此次事件不仅暴露了企业在网络安全保护方面的严重缺失，也反映出一些企业在数字经济快速发展背景下缺乏网络安全核心责任意识的普遍问题。

经专业技术团队调查取证，该票务管理系统存在多项安全漏洞：首先，系统未按照《网络安全保护基本要求》进行安全分级归档，核心数据库未采用加密格式存储；其次，后台管理权限设置存在严重缺陷，普通员工账号即可访问所有用户敏感数据；此外，系统日志的保留期不足30天，追踪攻击源头极其困难。这些漏洞导致犯罪分子窃取了超过50万条包含用户ID、手机号码、出行信息等敏感数据的记录，并在暗网交易平台上出售相关数据。

网络安全专家指出，此次事件具有典型的示范意义。作为系统开发运营者，受影响公司违反了《网络安全法》第二十一条和第三十一条的多项规定：未制定内部安全管理制度和操作规程，未落实防范计算机病毒和网络攻击的技术措施；未落实网络日志留存要求，未建立网络安全事件应急预案，防御能力全面丧失，系统在网络空间中处于脆弱状态。

值得注意的是，调查还发现，该公司总体上采取了注重功能开发、忽视安全投入的策略。安全防护投入占年度研发预算的不到1%，远低于行业3-5%的平均水平。该公司技术总监甚至在调查中坦言：“我以为购买一个简单的防火墙就能满足合规要求。”这种对网络安全的片面理解最终导致了数据泄露的惨痛后果。

行政处罚

事件发生后，四川省网络安全总队依据《网络安全法》第五十九条，对相关责任单位给予警告，并处以最高30万元罚款。对直接负责的系统安全负责人处以5万元罚款。

执法部门特别强调，这是四川省今年以来首例网络安全案件双罚，对单位和责任人同时处罚，体现了执法部门对网络安全违法行为零容忍的态势。

来源：成都公安

·END·

深圳网信安协会

NIS研究院

深圳市网络与信息安全行业协会