来源:中国贸易报 作者:本报记者 穆青风 2022-07-01 08:53:08
大学生学习软件“超星学习通”的数据库信息近日疑似被公开售卖。其中,泄露的数据包含学校、组织名、姓名、手机号、学号、性别和邮箱等信息达1.7亿多条。据了解,该公司关联数千条法律诉讼,多数为侵害作品信息网络传播权纠纷、著作权权属、侵权纠纷,涉及公司包括知网、北京大学出版社、中国社会科学出版社以及凯发app的版权代理公司、传媒公司等。
对此,学习通官方微博发布声明称,公司收到“疑似学习通app用户数据泄露”的反馈信息,立即组织技术排查,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,公司已经向公安机关报案,公安机关已经介入调查。
该事件引发业内对企业数据合规管理事宜的讨论。汇业律师事务所律师赵鑫告诉记者,根据《数据安全法》规定,开展数据处理活动的组织没有采取相应的技术措施和其他必要措施,保障数据安全,造成大量数据泄露等严重后果的,可处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。当数据涉及个人信息且情节严重的,还可以依据《个人信息保护法》由省级以上履行个人信息保护职责的部门处五千万元以下或者上一年度营业额百分之五以下罚款。
企业必须提高信息保护能力,否则将付出极高的成本。赵鑫介绍说,《网络安全法》明确了对侵害公民个人信息行为的惩处措施。网络运营者、网络产品或服务提供者以及关键信息基础设施运营者如未能依法保护公民个人信息,不仅会被罚款,甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚,客观上增加了相关运营单位发生信息安全事件的成本。相关运营单位在发生或者可能发生信息泄露、毁损、丢失情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
在浙江垦丁律师事务所创始合伙人麻策看来,一旦发生数据泄露事件,仅仅报警和应对舆情并不能很快解决问题,企业应当有明确的自救标准步骤。包括第一时间通报数据保护官,查看服务器日志以确定在数据遭到泄露时谁有权限并实际访问了数据,确实是否需要暂时关闭相关访问权限等。同时,除了在企业内部采取补救措施外,企业也应当考虑到,如果数据泄露后被发布在公开的互联网网站上,则应当立即通过向平台发送通知等方式,尽快删除或者阻止传播。