一、多少企业忽略了网络安全等级保护
《网络安全法》第二十一条规定:网络运营者应当按照网络安全等级保护制度的要求履行安全保护义务。很多中小企业对这个要求的理解是"只要装了防火墙就算做了等保",完全是误解。等保2.0标准要求企业完成定级备案→安全建设→等级测评→监督检查四步流程。不履行等保义务的行政处罚包括警告和罚款——更严重的是当企业发生数据泄露后如果没有等级保护的有效合规记录将被视为"未履行基本安全保护义务",这会大幅加重企业的行政和民事责任——甚至可能直接导致数据安全负责人被追究刑事责任。武汉数据合规律师荣郑建议所有处理大量用户数据的企业至少完成二级等保。
二、数据泄露后的标准操作——停止、报告、通知
一旦发生数据泄露事件企业的应对链条是:立即使数据泄露影响扩散停止——收回涉及系统的网络访问权限→在规定时间内向网信部门和行业主管报告→在72小时内通知受影响的个人信息主体。最重要的环节是通知——通知内容必须包括:发生了什么、泄露了什么数据、可能造成的后果、企业已经和将要采取的补救措施、以及用户可以采取的降低风险的建议。通知不能是一句含糊的"您的信息可能受到影响"——必须具体到泄露的数据类别和数量。如果企业选择不通知或延迟通知一旦被监管或被媒体曝光面临的处罚和声誉损失将是灾难性的。
