大量个人信息数据遭境外访问窃取，上海某医疗科技企业被行政处罚

大量个人信息数据遭境外访问窃取，上海某医疗科技企业被行政处罚

引用

安全内参

1.

https://www.secrss.com/articles/71213

近日，上海市网信办接到线索，反映属地某医疗科技公司所属系统存在网络安全漏洞，致使系统大量个人信息数据发生泄漏被境外IP访问窃取。针对这一问题线索，上海市网信办立即赴涉事企业开展现场核查。经查实，该企业的确存在数据泄漏问题，暴露出公司未能履行好网络安全、数据安全保护义务，上海市网信办依据《数据安全法》对该公司予以立案调查。

通过调查核实，涉事医疗科技公司为民营医疗机构，主要从事医疗领域教育培训的技术开发服务，涉事系统为该企业内部生产测试系统，部署于云服务平台，系统数据库内存储大量个人信息数据，包含姓名、单位名称、所属省市、所在乡镇/街道、手机号（已采取加密措施）等。该系统未采取有效网络安全防护措施，存在未授权访问漏洞，网络和数据安全管理制度不完善，网络日志留存不足6个月，造成数据泄漏被窃取，违反了《数据安全法》第二十七条规定。针对以上违法情况，上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告，并处以罚款的行政处罚。

数据安全关乎人民群众切身利益，企业在开展数据处理活动中应当采取必要的保护措施，保障数据安全。医疗行业机构及相关企业因业务需求，需要收集存储大量医疗人员及患者相关个人信息等敏感数据，一旦泄露或被非法利用，容易导致人员的人格尊严受到侵害甚至会危害到人身、财产安全，因此，企业更应该遵守法律、法规，诚实守信，主动承担社会责任，切实履行好数据安全保护义务。

下一步，上海市网信办将依法持续加大网络安全、数据安全、个人信息保护等领域执法力度，依法打击各类违法行为，切实维护网络安全、数据安全和个人信息合法权益，进一步营造安全稳定的网络环境。