商丘市互联网信息办公室对两家单位未履行网络安全和数据安全保护义务作出行政处罚

为加强网络安全和数据安全管理，压实属地网络运营者网络安全、数据安全主体责任，商丘市互联网信息办公室全面开展网络安全风险隐患排查，加大网络执法力度，筑牢网络安全防线。近日，商丘市互联网信息办公室依法查处2起网络违法案件。

案例一：某医疗机构未履行网络安全保护义务案

商丘市互联网信息办公室接到案件转办线索，属地某医疗机构未制定内部安全管理制度，没有定期开展网络漏洞扫描，OA办公系统存在多项安全隐患，导致系统出现容易造成个人信息和数据泄漏的安全漏洞，且未及时处置相关网络安全风险，违反了《中华人民共和国网络安全法》第二十一条、第二十五条之规定。

2024年6月20日，商丘市互联网信息办公室依据《中华人民共和国网络安全法》第五十九条第一款规定，对该单位作出责令整改，给予警告的行政处罚。

案例二：某学校未履行数据安全保护义务案

商丘市互联网信息办公室在工作中发现，属地某学校运营的“阅卷系统”存在XSS跨站脚本攻击和SQL注入漏洞，且未建立数据安全管理制度，未组织数据安全教育培训，未采取相应技术措施保障数据安全，未对其数据处理活动开展风险监测和定期风险评估，存在系统数据泄露风险，违反了《中华人民共和国数据安全法》第二十七条、第二十九条之规定。

2024年10月22日，商丘市互联网信息办公室依据《中华人民共和国数据安全法》第四十五第一款规定，对该学校作出责令改正，给予警告的行政处罚。

依据相关法律法规，网络运营者应增强法律意识，严格履行主体责任，完善网络安全防护技术措施，切实维护网络安全和数据安全。下一步，商丘网信系统将持续加大网络安全、数据安全和个人信息保护领域执法力度，依法查处违法违规行为，保障公民合法权益，营造安全网络环境。

网信普法

《中华人民共和国网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

《中华人民共和国数据安全法》

第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第二十九条 开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

来源：网信商丘