文章总结： 吉林长春某医药公司因未履行数据安全保护义务被公安机关依法处罚，该公司在数据安全方面存在四大缺失：未建立全流程数据安全管理制度、未组织员工开展数据安全教育培训、未采取技术措施和其他必要措施、存储隐私数据服务器直接暴露在互联网。公安机关依据《中华人民共和国数据安全法》第二十七条和第四十五条规定，对该公司追究法律责任并责令限期改正。文章提醒企业应守住法律底线，规范数据处理，做好技术防护，履行主体责任，避免数据安全违规带来的法律风险和经济损失。 综合评分： 75 文章分类： 数据安全,政策法规,安全建设,数据泄露,安全意识

处罚案例 | 某医药公司数据安全“四大皆空”，被依法处罚！

NERCIS

信息安全国家工程研究中心

2025年12月15日 17:10 北京

案情回顾

近日，吉林长春公安网安部门在开展网络安全监督检查时发现，吉林某医药公司在经营过程中存储大量公民个人信息，但在数据安全上却“四大皆空”，没有履行数据安全保护义务，存在严重数据泄露风险：

无制度——未建立全流程数据安全管理制度

无培训——未组织员工开展数据安全教育培训

无技术——未采取技术措施和其他必要措施

无防护——存储隐私数据服务器直接暴露在互联网

针对该医药公司未履行数据安全保护义务行为，吉林长春公安机关根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，依法追究该公司的法律责任并责令其限期改正。

网警普法

《中华人民共和国数据安全法》第二十七条第一款

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

《中华人民共和国数据安全法》第四十五条第一款

开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

网警提醒

资产，也是“炸弹”，切莫在数据安全战场上“装睡”，小心“省钱省事”变成“倾家荡产”。网警温馨提醒广大企业：

守住法律底线，树牢合规意识；

规范数据处理，杜绝乱采乱用；

做好技术防护，强化安全措施；

履行主体责任，莫让数据“裸奔”。

素材 | 吉林长春网警

来源：公安部网安局

往期阅读

查看原文：《处罚案例 | 某医药公司数据安全“四大皆空”，被依法处罚！》