陕西某公司涉无人机管理平台遭攻击导致数据泄露被罚

在案件办理过程中，陕西西安公安网安部门发现，该公司无人机管理平台存在安全漏洞，且公司内部未建立全流程数据安全管理制度，未组织开展数据安全教育培训，缺乏必要的技术防护措施。

针对该公司不履行数据安全保护义务的违法行为，陕西西安公安机关依据《中华人民共和国数据安全法》，依法追究了该公司的法律责任并责令其限期改正。

同时，指导该公司建立健全相关安全管理制度，修复平台安全漏洞，开展网络和数据安全专项培训，提升员工安全防范意识，加强内部网络和数据安全防护。

目前，案件仍在进一步侦办中。

《中华人民共和国数据安全法》第二十七条第一款开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

《中华人民共和国数据安全法》第四十五条第一款开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

无人机管理平台具有规划无人机飞行路径，采集、传输、存储、处理无人机飞行中拍摄的照片和视频等功能，一旦被攻击者入侵控制后可修改飞行路径、窃取航拍数据，将直接威胁国家安全。企业开展数据处理活动，应当依法制定安全管理制度，采取必要的技术防护措施，加强日常监测巡查和人员教育培训，从以下四个方面提升数据安全防护能力：

1.制度固本，织密安全防护网。制定涵盖数据分类分级、访问控制、备份恢复、应急处置等全流程安全制度，明确各部门职责，确保数据安全管理有章可循。定期评估并更新制度，适应业务发展和外部环境变化。

2.技术强基，提升安全硬实力。采取加密、备份、访问控制、安全认证等技术措施和其他必要措施，确保数据安全。定期扫描并修复业务平台、信息系统安全漏洞，筑牢技术防护屏障。

3.人员赋能，增强安全软实力。制定培训计划，定期开展数据安全法律法规、管理制度、操作规程等培训，通过多种方式提升员工安全意识。建立考核机制，督促员工落实安全责任。

4.应急兜底，构建安全防护盾。结合自身实际，制定数据安全应急预案，明确组织架构、职责分工、应急流程等。发生数据安全事件时，立即启动预案，采取措施阻止事件扩大，保护现场证据，调查分析原因，落实整改措施并恢复系统运行，及时上报主管监管部门，降低事件影响。