未按规定留存网络日志，未履行网络安全保护义务，某软件公司被处罚

南昌西湖区网信办依法对某软件科技公司作出行政处罚

案情回顾

近期，南昌市网信办接上级通报，西湖区某软件科技公司数据库存在未授权访问漏洞，有数据泄露风险。

10月17日，西湖区网信办决定开展立案调查。经现场勘验、抽样取证、笔录问询等工作，查明该公司：

• 未依法履行网络安全保护义务

  
  

• 未采取技术措施和其他必要措施保障数据安全

  
  

• 未按法律规定留存相关网络日志

该公司的相关行为违反了《中华人民共和国网络安全法》第二十一条和《中华人民共和国数据安全法》第二十七条的规定。

12月15日，西湖区网信办依据《中华人民共和国网络安全法》第五十九条的规定，对该公司作出警告的行政处罚。

相关法条

《网络安全法》第二十一条、五十九条

1.《网络安全法》第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

2.《网络安全法》第五十九条

开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

《数据安全法》第二十七条

1.《数据安全法》第二十七条

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。