8月16日,“南昌网警巡查执法”官方公号披露了一起高校数据泄露事件。根据通报,南昌公安网安部门近期发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。南昌公安网安部门立即开展调查,成功抓获犯罪嫌疑人3名。同时,对涉案高校不履行数据安全保护义务的违法行为开展执法检查。经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。为此,南昌公安网安部门根据相关规定,对该校作出责令改正、警告并处80万元人民币罚款的处罚,对其主要责任人作出人民币5万元罚款的处罚。
图源“南昌网警巡查执法”
通报显示,南昌公安网安部门的处罚依据是《数据安全法》第四十五条——开展数据处理活动的组织、个人不履行该法规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。高校由于掌握大量个人信息,通常是黑客进行网络攻击的重点对象。南都记者梳理发现,近年来,高校因网络安全防护不力而遭到黑客入侵,进而导致大量数据泄露或被非法使用的情况并不鲜见。在2020年河南省公安机关公布的典型案例中,郑州新郑市某中等专业学校因不履行网络安全保护义务而被处罚,事件起因系该校信息系统遭到黑客攻击。经查,该校未制定内部安全管理制度和操作规程,未按照规定留存相关网络日志六个月。新郑警方对该校及其网络安全负责人分别处以1万元和5000元罚款。据报道,2019年10月,贵阳某地警方根据《网络安全法》对一高校及其负责人分别处以10万元和5万元的行政罚款。原因是该高校网站主页遭遇黑客攻击,登录页面被非法篡改为违法有害信息,影响恶劣。经查,该高校网站平台未开展网络安全检测,平台内共发现10余个木马后门等,技术防护措施极为薄弱。同年,四川公安网安部门也查处了一批不履行网络安全管理义务的网络运营者。其中,宜宾学院因网络安全责任意识淡薄、联网备案制度和网络安全等级保护制度落实不到位,导致其一网站页面被攻击篡改。宜宾市翠屏区公安分局网安大队对宜宾学院及其直接负责的主管人员分别作出罚款8万元和1万元的处罚。