宁波一公司未履行数据安全保护义务被处罚

合规社 · 公众号 · · 2025-01-22 00:00

正文

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

未履行数据安全保护义务，多次被境外势力利用弱口令漏洞获取监控视频数据，宁波某科技公司被行政处罚

近日，根据国家网信办移交的问题线索，在宁波市网信办的全流程指导下，鄞州区网信办依法对宁波某科技有限公司未履行数据安全保护义务的问题进行立案调查。

经查明，当事人承包了某化工企业的业务信息系统（包括网络视频监控系统），2024年11月17日至11月19日（在建中交付前），由于当事人存在未落实网络安全等级保护制度、未建立健全全流程数据安全管理制度、未采取有效的技术措施和其他必要措施保障数据安全、未在开展数据处理活动时加强数据安全缺陷、漏洞等风险监测等未履行数据安全保护义务的违法行为，导致其所属的用于存储化工厂区安全智能管控平台重大危险源监控视频数据网络资产（网络摄像机），多次被美国、韩国、新加坡等境外势力利用弱口令漏洞获取监控视频数据，违反了《数据安全法》第二十七条的规定。

鄞州区网信办依据《数据安全法》《行政处罚法》等法律法规，对宁波某科技有限公司作出责令改正，给予警告，并处五万元罚款的行政处罚，对直接主管人员处以一万元罚款的行政处罚。此案为宁波市网信系统首次采用说理性执法文书的行政处罚案件。

下一步，宁波市网信系统将持续加大执法力度，严肃查处数据安全、个人信息保护、网络安全等领域违法违规行为。同时在此提醒，相关企业应严格遵守互联网法律法规，牢固树立合规意识，规范数据处理行为，完善数据安全防护技术措施，严格履行主体责任，切实维护网络(数据)安全。

短评：谨防在建业务平台系统成为网络安全“大堤”中的“蚁穴”

随着网络空间与实体社会深度交融，数字化智能化程度不断加深，越来越多的企事业单位委托第三方科技公司建设业务平台系统，建成交付后的网络（数据）安全较受重视，但在建交付前的网络安全易被忽视。本案中的化工厂区业务平台系统，正是一个十分典型的案例。

“ 网络无边，安全有界。联网之日，责任在肩。”当前境外势力对我国的网络攻击不断加剧，网络（数据）安全面临着较大的压力。化工是事关国计民生的重点行业，其网络(数据)安全直接影响到国家安全、经济安全、技术安全。第三方科技公司在建中的业务信息系统虽然尚未正式交付给企事业单位，但在联网之日起，网络（数据）安全的责任便已自然产生，建设主体要切实有效履行网络（数据）安全保护义务，切勿疏忽大意，怀有侥幸心理，全力筑牢网络安全“大堤”，消除“大堤”中的“蚁穴”。

来源 | 宁波网信

-END-

📖 「网数行政处罚」专栏合集