根据《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。因未落实网络安全管理制度,未建立网络安全防护技术措施,未采取数据分类、重要数据备份和加密措施,致使系统存储的身份信息泄露的,网络运营者将面临行政处罚。
——以国内首例高校未落实等保制度致学生信息泄露案为例
【基本案情】
2017年9月28日,淮南市网络与信息安全信息通报中心接到国家网络与信息安全信息通报中心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4000余名学生身份信息已经造成泄露。经查,确认淮南职业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,学院未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4353名学生的身份信息泄露。10月12日,安徽省淮南市网警巡查执法官方微博发布通报称,关于淮南职业技术学院未落实网络安全等级保护制度,导致4000余名学生身份信息泄露一事,淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。
【裁判结果】
责令整改,警告
【裁判理由】
淮南职业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的多名学生身份信息泄露。
【相关法条】
《网络安全法》第21条、第59条第1款
-=||=-收藏赞 (105)
评论 (0)