網(wǎng)站首頁
產(chǎn)品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務(wù)與支持
關(guān)于敏捷
行業(yè)資訊
內(nèi)鬼盜數(shù)據(jù)、制度不合規(guī),某大藥房被罰110萬,數(shù)據(jù)安全還需“技術(shù)+管理”組合拳
發(fā)布時(shí)間:2023-11-14    作者:敏捷科技

事件回顧 


近期,浙江溫州公安網(wǎng)安部門查處了一起某大藥房“內(nèi)鬼”侵犯公民個(gè)人信息案。“內(nèi)鬼”得到應(yīng)有的法律處罰外,該大藥房也因未履行數(shù)據(jù)保護(hù)義務(wù)造成數(shù)據(jù)泄露的違法行為被公安機(jī)關(guān)罰款110萬元。


640.png


溫州網(wǎng)安部門在日常工作中發(fā)現(xiàn)有人在暗網(wǎng)上售賣溫州某大藥房銷售數(shù)據(jù)。通過偵查發(fā)現(xiàn),該大藥房數(shù)據(jù)分析師利用工作便利將大量交易數(shù)據(jù)導(dǎo)出并售賣。經(jīng)進(jìn)一步偵查發(fā)現(xiàn),該大藥房因未建立健全全流程數(shù)據(jù)安全管理制度,未組織開展數(shù)據(jù)安全教育培訓(xùn),未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全,最終導(dǎo)致大量敏感數(shù)據(jù)泄露。


該大藥房數(shù)據(jù)分析師因違反《中華人民共和國刑法》第二百五十三條之一之規(guī)定,涉嫌侵犯公民個(gè)人信息罪被溫州公安機(jī)關(guān)依法刑事拘留。同時(shí),溫州公安機(jī)關(guān)依據(jù)《中華人民共和國數(shù)據(jù)安全法》第二十七條、第四十五條之規(guī)定,對(duì)該公司處罰款110萬元,對(duì)該大藥房直接負(fù)責(zé)的主管人員處罰款10萬元。


在此次數(shù)據(jù)安全事件中,大藥房暴露出的數(shù)據(jù)安全防范短板也是當(dāng)前許多連鎖企業(yè)面臨的數(shù)據(jù)安全建設(shè)難題。一方面要通過采取符合自身業(yè)務(wù)特點(diǎn)的技術(shù)手段,防止企業(yè)核心商密從內(nèi)部泄露、保護(hù)自身利益;另一方面,在國家出臺(tái)《數(shù)據(jù)安全法》、嚴(yán)格監(jiān)管企業(yè)數(shù)據(jù)安全的大趨勢下,企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)更是要提上日程,快速推進(jìn)。技術(shù)手段與管理制度并進(jìn),讓連鎖企業(yè)倍感壓力、手足無措。


作為數(shù)據(jù)安全和數(shù)據(jù)管理專家,敏捷科技通過對(duì)連鎖企業(yè)數(shù)據(jù)保護(hù)痛點(diǎn)的總結(jié),結(jié)合《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)的要求,基于終端加密平臺(tái)DGS形成了數(shù)據(jù)安全全生命周期解決方案,保障企業(yè)經(jīng)營數(shù)據(jù)可以在存儲(chǔ)、使用、交互等關(guān)鍵環(huán)節(jié)始終處于加密狀態(tài),杜絕內(nèi)部敏感數(shù)據(jù)外泄,助力企業(yè)快速推進(jìn)合規(guī)建設(shè)。


Part.1

數(shù)據(jù)安全技術(shù)防范


>> 客戶信息脫敏、加密存儲(chǔ):對(duì)顧客姓名、手機(jī)號(hào)碼、身份證號(hào)碼等敏感數(shù)據(jù)采用脫敏手段,例如數(shù)據(jù)在系統(tǒng)中以“王xx,158712xxxxx”的形式存儲(chǔ),可以有效防止敏感數(shù)據(jù)在不可靠的環(huán)境下直接曝光,增強(qiáng)了客戶個(gè)人信息的隱蔽性。同時(shí),通過數(shù)據(jù)主動(dòng)、強(qiáng)制加密技術(shù),保證所有包含敏感數(shù)據(jù)的電子文檔始終處于加密狀態(tài),防止因人為操作被有意或無意地泄露,這也符合數(shù)據(jù)安全法規(guī)的相關(guān)要求。


>> 強(qiáng)化電腦終端水印應(yīng)用:可以通過在門店的電腦終端上加上數(shù)字水印,內(nèi)容可以包括“員工姓名、ID、時(shí)間、門店信息”等,一來可以對(duì)員工截圖、拍照等數(shù)據(jù)竊取行為造成心理震懾,二來可以通過外泄圖片的水印內(nèi)容準(zhǔn)確定位泄密源頭,為企業(yè)及時(shí)阻斷數(shù)據(jù)擴(kuò)散和后續(xù)維權(quán)等行為提供依據(jù)。


>> 規(guī)范內(nèi)部人員數(shù)據(jù)處理:在運(yùn)維人員或者分店員工定期處理門店客戶信息時(shí),通過加密軟件與內(nèi)部系統(tǒng)的集成,使得相關(guān)人員從內(nèi)部系統(tǒng)下載數(shù)據(jù)時(shí)電子文檔自動(dòng)加密,并在后續(xù)操作中始終保持加密狀態(tài)。這樣可以防止有內(nèi)部系統(tǒng)訪問權(quán)限的人員進(jìn)行違規(guī)操作,也保障企業(yè)經(jīng)營數(shù)據(jù)不被人為外泄。


Part.2

數(shù)據(jù)安全制度建設(shè)


>> 遵循數(shù)據(jù)處理的基本原則:根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等相關(guān)規(guī)定,對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),梳理數(shù)據(jù)資產(chǎn),按照“最小必要”原則收集客戶個(gè)人信息,遵循合法、正當(dāng)、必要原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍。


>> 建立健全內(nèi)部數(shù)據(jù)安全管理制:在數(shù)據(jù)采集、存儲(chǔ)、使用、處理、傳輸、提供等一系列環(huán)節(jié),企業(yè)應(yīng)針對(duì)每個(gè)環(huán)節(jié)制定有針對(duì)性的管理規(guī)范,加強(qiáng)數(shù)據(jù)處理各個(gè)環(huán)節(jié)的合規(guī)性,建立健全數(shù)據(jù)存儲(chǔ)機(jī)制,在數(shù)據(jù)存儲(chǔ)時(shí)就采用加密等安全措施,確保重要數(shù)據(jù)備份和恢復(fù)能力。


>>強(qiáng)化內(nèi)部數(shù)據(jù)安全意識(shí):建立數(shù)據(jù)安全事件應(yīng)急處理機(jī)制,并定期進(jìn)行事故處置演練。開展員工數(shù)據(jù)安全意識(shí)培訓(xùn),了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范,強(qiáng)化員工數(shù)據(jù)安全意識(shí),了解數(shù)據(jù)泄密后企業(yè)和個(gè)人將會(huì)承擔(dān)的法律后果。



對(duì)企業(yè)經(jīng)營者來說,對(duì)數(shù)據(jù)的保護(hù),不僅是對(duì)用戶負(fù)責(zé),也是商業(yè)持續(xù)發(fā)展的基礎(chǔ)和前提。敏捷科技的數(shù)據(jù)防泄漏方案已在漱玉平民大藥房、養(yǎng)天和大藥房等多家連鎖企業(yè)的數(shù)據(jù)安全防護(hù)中得到印證,敏捷產(chǎn)品及方案也將繼續(xù)為連鎖企業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)和公民個(gè)人信息安全保駕護(hù)航!


電話:18120179909