每日优鲜危机背后：隐藏的数据安全“冰山”值得重视(2)

”

　　浙江垦丁律师事务所合伙人李晋沅表示，对于互联网企业来说，用户数据往往构成其核心资产的重要组成部分。“当互联网企业停止经营，根据《个人信息保护法》等法律法规，对于用户提供的原生数据，企业需要停止使用并销毁，而经过企业再加工后形成的衍生数据在进行脱敏处理后，可以作为数据资产进行转移。”

　　建立健全数据合规长效机制

　　“互联网平台会因不同业务而涉及到很多种类的个人信息数据，在日常经营中需要对数据进行分类分级处理，涉及到金融类的数据如用户银行卡信息则需要更高层级的保护。”李晋沅向21世纪经济报道记者表示。

　　《个人信息保护法》规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。此外，《个人信息保护法》对企业内部管理制度和操作规程、分类管理、安全技术措施、操作权限、教育培训、个人信息安全事件应急预案等也作出相关要求，强调企业对于个人信息保护的主体责任。这意味着企业作为个人信息处理者，需要在个人信息的全生命周期完善合规保障措施，弥补相应环节短板。

　　互联网平台拥有大量商业经营数据和个人信息数据，在日常运营中需要筑牢数据保护屏障，一旦发生泄露情况，对个人权益和企业商业运营都将造成不良影响。

　　据广州市公安局，今年7月广州一家技术公司在开发一款App系统后，因未履行数据安全保护义务，导致该系统安全漏洞被不法分子利用，1070余万条公民个人信息面临泄露风险，被警方行政立案，罚款5万元。

　　该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条，但并未建立数据安全管理制度和操作规程，对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施，系统存在未授权访问漏洞等严重数据安全隐患。有关部门表示，该公司系统平台一旦被不法分子突破窃取，将导致大量驾校学员个人信息泄露，给广大人民群众个人利益造成重大影响。根据《数据安全法》的有关规定，广州警方对该公司未履行数据安全保护义务的违法行为，依法处以警告并处罚款人民币5万元的行政处罚。这是广东警方适用《数据安全法》的首批案例之一。

　　相关警方特别提醒：网络安全事关国家安全，所有单位与个人都有保护数据安全的责任与义务，特别是持有、掌握大量公民个人信息的单位，更应该严格依法采取保护措施，有效保障公民个人信息安全。