公司采集人脸未确定网络安全负责人,处罚!
作者:赵化律师 访问次数:400 时间:2022/05/16
近期,四川省公安厅网安总队开展网络应用人脸识别与活体检测技术安全整改专项行动。当地的网安部门对辖区安装人脸识别系统的居民小区进行了安全检查,发现其中三个小区物业未制定内部安全管理制度和操作规程,未确定网络安全负责人,未落实网络安全保护责任!该公司采集小区人脸图片、收集小区业主个人信息3000多条,然而没有专门的管理员对后台服务器进行管理维护,后台账号口令为弱密码,存在较大的信息泄露风险和安全隐患,未履行个人信息保护义务。故根据《中华人民共和国网络安全法》第五十九条第一款之规定,公安机关网安部门对三个小区的物业公司责令改正,给予警告处罚。
该三个小区人脸识别系统都是四川某科技有限公司承建和维护的。根据《中华人民共和国网络安全法》第六十四条之规定,公安机关网安部门对该科技有限公司责令改正,并予以行政处罚。
处罚法律依据
《中华人民共和国网络安全法》
第五十九条第一款 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
智子完全赞同网安部门对违反法律法规的非法采集存储个人信息的行为予以处罚,这也给包括物业公司及网络服务提供公司敲响了警钟。
针对此次处罚涉及的处罚事由,类似公司主体需要关注以下三点:
人脸识别系统的合规包括了两个方面,一个是网络安全方面的合规,具体涉及到网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
另一个是个人信息保护方面的合规,主要是在《个人信息保护法》中涉及到个人信息处理的相关规定,包括但不限于告知同意原则,最小化原则等,应当做到收集前告知;收集后保护;无必要及时删除,未经许可不得分享,全面提供投诉通道。
《个人信息保护法》规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
《网络安全法》规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。无论是个人信息保护负责人,还是网络安全负责人,都是网络安全数据保护中的重要一环,不可或缺。
这也是落实两点合规要求的最终目的和追求结果。在网络风险与日俱增,个人信息大量采集的当下,只有全面落实网络运营者和个人信息处理者的责任,才能对个人信息予以充分有效的保护。
