【案情简介】

2024年8月19日，湖南省互联网应急中心巡查发现，湖南某信息技术有限公司存在大规模个人信息泄露风险。为保护我省网络数据安全，维护公民个人信息权益，省网信办依法对此情况开展调查。

【调查与处理】

收到相关线索后，省网信办依法开展立案调查，对公司法定代表人委托人黄某、具体技术负责人刘某等进行调查询问。经查，湖南某信息技术有限公司未对其所属数据库进行有效管理，未采取相应的技术措施和其他必要措施保障数据安全，存在未授权访问漏洞，涉及大量敏感个人信息，存在泄漏风险，违反了《网络安全法》第二十一条、《数据安全法》第二十七条和《湖南省网络安全和信息化条例》第二十六条。鉴于当事人主动承认错误，能够积极配合整改，根据《数据安全法》第四十五条和《湖南省网络安全和信息化条例》第五十五条，省网信办对其公司作出警告，并对公司和直接负责的主管人员及直接责任人分别作出罚款5万元、2万元、1万元的处罚。

【法律分析】

该公司主要从事健康服务软件开发运营等业务，涉事平台支撑业务重要、服务面广、数据量大且敏感，但现有安全防护极为薄弱，仅购买基础版安全防护模块，无WAF、IPS、日志审计等安全防护，且安全策略不完善、安全日志严重缺失，面临的网络和数据安全风险高，可能导致大量敏感个人信息泄露。其违反了《网络安全法》第二十一条、《数据安全法》第二十七条和《湖南省网络安全和信息化条例》第二十六条关于网络安全、数据安全保护义务的明确规定。该公司这一个行为同时触犯了《网络安全法》《数据安全法》两个相关法律条款，最后适用处罚较重的《数据安全法》第二十七条和《湖南省网络安全和信息化条例》第二十六条进行处罚。

【典型意义】

《网络安全法》《数据安全法》和《湖南省网络安全和信息化条例》，对履行网络安全、数据安全保护义务，做出了明确规定。该案例是省网信办首例适用《数据安全法》处罚的案例，体现了省网信办高度重视、严肃查处相关违法违规行为的鲜明态度。全省网信部门将持续关注网络安全、数据安全和个人信息保护，严肃查处网络安全、数据安全、个人信息保护领域的违法违规行为，切实维护网络安全、数据安全和广大网民的合法权益，全力构建安全稳定的网络环境。

（文中涉案人物均为化名）

责编：曹晓林

一审：曹晓林

二审：喻志科

三审：熊佳斌

来源：新湖南客户端