衡阳市互联网信息办公室行政处罚决定书 

衡网信决字［2024］第01号

当事人：湖南财经工业职业技术学院 

主体资格证照名称： 营业执照   

统一社会信用代码（注册号）：124304004454293873

住所（住址）：湖南省衡阳市珠晖区狮子山路20号

法定代表人（负责人、经营者）：戴旻

身份证（其他有效证件）号码：43040319**********

联系电话：136********   

联系地址：湖南省衡阳市珠晖区狮子山路20号

2024年1月5日，经巡查发现：湖南财经工业职业技术学院信息门户网站（ICP备案号：湘ICP备05002485号-1）泄露毕业学生和指导老师的个人信息。经核实：学校官网的子网页毕业设计专题栏目未设置查看权限，任意访问者均可查看学生毕业设计书，且毕业设计任务书里面显示了学生和指导老师的姓名、联系电话、电子邮箱、QQ等个人信息，造成了个人信息的泄露的违法行为。该行为涉嫌违反了《中华人民共和国数据安全法》第二十七条、第二十九条之规定，为进一步查清事实，经报办领导批准后，于当日立案调查。立案后，对当事人和相关人员进行了询问及收集相关材料。

当事人对网站开展数据处理活动未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施，保障数据安全。并且，网站在开展数据处理活动时并未加强风险监测，造成个人信息的泄露等问题供认不讳，当事人的网站存在未履行数据安全保护义务的违法行为。

上述事实，主要有以下证据证明：

1、案件来源登记表1份，证明案件的合法来源。

2、网站信息1份，证明网站主办者信息。

3、电子取证工作记录1份、询问笔录5份，证明当事人网站存在未履行数据安全保护义务的违法事实。

上述证据均经出证人的确认。

2024年3月6日，我办向当事人送达了《衡阳市互联网信息办公室行政处罚意见告知书》（衡网信罚告字〔2024〕1号）。拟对当事人作出责令改正，给予警告，并处五万元罚款的行政处罚，当事人在法定期限内没有提出陈述、申辩意见和听证要求。              

当事人网站存在泄露个人信息的行为涉嫌违反了《中华人民共和国数据安全法》第二十七条、第二十九条之规定：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

依据《中华人民共和国数据安全法》第四十五条：“开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。”的规定和自由裁量理由，建议责令当事人立即改正，并作出如下行政处罚：1、责令改正；2、给予警告；3、处五万元人民币罚款；

当事人应当自收到本行政处罚决定书之日起十五日内，持本决定书和《湖南省非税收入一般缴款书》缴纳罚款（银行：中国光大银行衡阳分行 账号：50630188000040248）。逾期不缴纳罚款的，依据《中华人民共和国行政处罚法》第七十二条第一款的规定，本办将每日按照罚款数额的百分之三加处罚款，并依法申请人民法院强制执行。

如当事人不服本行政处罚决定，可以在收到本决定书之日起六十日内向衡阳市人民政府申请行政复议，或者于收到本决定书之日起六个月内直接向衡阳铁路运输法院提起行政诉讼。申请行政复议或者提起行政诉讼期间，行政处罚不停止执行。         

衡阳市互联网信息办公室

                                  2024年3月20日

（未经许可，不得转载）