【护网】成都某科技公司未落实网络安全义务被依法处罚

近期，成都某科技公司开发的购票管理系统因未落实网络安全防护要求，导致系统内部分数据泄露，被不法分子利用实施违法犯罪活动。经查，该公司作为涉案信息系统的开发主体及实际运营单位，未依法履行《中华人民共和国网络安全法》规定的网络安全保护义务，未落实网络安全等级保护制度，未采取必要的技术防护措施，引发数据泄露。四川公安网安部门已依法对涉事企业及直接责任人作出行政处罚。

一、涉事事件事实

1.涉事主体：

四川成都某科技公司，作为购票管理系统的开发方与运营单位，未履行法定网络安全保护义务。

2.违规行为：

• 未落实等级保护制度：未按《网络安全法》要求对系统进行安全等级定级和防护。

• 技术措施缺失：未采取数据加密、访问控制等必要防护措施，导致系统存在高危漏洞。

• 安全管理失职：未建立全流程数据安全管理制度，放任系统漏洞长期存在。

3.违法后果

• 系统数据遭不法分子窃取，部分用户信息被用于实施违法犯罪活动（如电信诈骗、身份盗用等）。

• 泄露事件引发用户隐私安全风险，损害公众信任。

4.处罚结果

• 四川公安网安部门依据《网络安全法》第21条、第59条，对涉事企业及直接责任人实施“双罚制”：

• 企业被处以罚款（具体金额未公开）；

• 直接责任人承担个人罚款。

二、法律依据与监管重点

1.《网络安全法》第二十一条

明确要求网络运营者履行安全保护义务，包括：

• 落实网络安全等级保护制度；

• 采取防入侵、防窃密等技术措施；

• 保障数据完整性、保密性和可用性。

2.处罚条款（第五十九条）

• 对未履行义务的网络运营者，可责令改正、警告、罚款；情节严重者可暂停业务或吊销执照。

• “双罚制” 成为近年执法趋势，强化企业及个人主体责任。

三、关联案例与行业警示

1.同类处罚案例

2.行业共性风险

• 安全投入不足：企业将网络安全视为“成本负担”而非发展基石，防护措施滞后。

• 外包环节漏洞：委托第三方开发系统时监管缺位（如海南基因数据分析系统泄露事件）。

• 境外威胁加剧：数据泄露易被不法分子或境外黑客利用（如广州科技公司遭台湾黑客攻击事件）。

四、企业合规建议

1.落实等级保护制度

对系统进行定级备案，定期开展安全评估与渗透测试。

2.强化技术防护

部署数据加密、访问控制、入侵检测系统，修补已知漏洞

3.健全管理机制

建立全流程数据安全管理制度，明确开发、运维、外包各环节责任。

响应与演练

制定网络安全事件应急预案，定期组织攻防演练。

总结

此次处罚凸显监管部门对网络运营者主体责任的严控趋势，尤其在“护网2025”专项行动背景下，企业需将安全投入前置化、体系化。数据泄露不仅面临行政处罚，更可能成为犯罪帮凶，唯有筑牢技术+管理的双重防线，方能规避风险、赢得公众信任。

如需进一步定制化方案，欢迎联系中科至善，联系电话：19141056590.