文章总结： 湖南网信办首次依据《网络数据安全管理条例》处罚两企：科技公司在未授权下分包个人信息且未核验合作方安全能力被罚30万；信息公司因ES库公网端口未关致泄露被罚15万，暴露第三方协作与技术防护双重短板，警示企业需合同明确责任、关闭公网端口、加密留痕并动态监督。 综合评分： 82 文章分类： 数据安全,政策法规,安全建设,漏洞预警,解决方案

湖南网信办对2家未履行数据安全保护义务的公司作出了行政处罚

管窥蠡测 管窥蠡测

安在

2026年1月26日 19:19 上海

2026年1月23日，网信湖南披露两起数据安全违法案件查处结果。两起案件分别触及第三方协作安全与技术防护漏洞两大核心风险点，其中一起更是湖南省网信办依据《网络数据安全管理条例》作出处罚的首例典型案件，为全行业敲响了数据安全合规的警钟。

第三方协作成安全短板

在查处某信息公司未履行数据安全保护义务的过程中，监管部门顺藤摸瓜，查明关联某科技公司存在多项违规行为。该公司在未获得委托方授权的情况下，擅自拆分业务并向某信息公司提供个人信息数据，且全程未对该信息公司的安全防护能力进行有效核验与监督，将数据安全责任置于不顾。

依据2025年1月1日起施行的《网络数据安全管理条例》，湖南省网信办对该科技公司作出警告处分，同时对公司及主管人员分别处以30万元、3万元罚款。作为该条例实施后湖南查处的首例典型案件，此案直指企业第三方协作中的合规漏洞——部分企业将业务分包后便放松安全管控，把监督义务流于形式，殊不知这种“甩手掌柜”式管理已触碰法律红线。

第三方协作环节已是数据安全风险的高发领域，此类因分包管控缺位引发的违规问题屡见不鲜。这要求企业在委托处理数据或开展业务分包时，不能仅靠口头约定，而需通过具备法律效力的合同明确双方安全责任，建立动态监督机制，对合作方的安全防护措施进行常态化核验，从源头阻断风险传导。

技术疏漏叠加管理缺位

另一起案件中，某信息公司因内控失守与技术防护缺失，造成数据泄露事故。经查，该公司技术负责人为图工作便捷，违规开启ES数据库的公共互联网访问端口且未及时关闭，相当于给网络风险敞开了“大门”，直接导致数据库数据暴露于公网，引发部分数据泄露。更严重的是，该公司不仅未建立完善的网络安全与数据安全管理制度，未采取加密、访问控制等必要技术防护措施，还未按法律规定留存网络日志，导致风险发生后无法及时追溯溯源。

基于《中华人民共和国数据安全法》《湖南省网络安全和信息化条例》相关规定，监管部门对该公司作出警告，同时对公司、主管人员及直接责任人员分别处以15万元、2万元、1万元罚款。该案暴露的问题具有普遍性：部分企业法律意识淡薄，将数据安全视为“额外成本”，既缺乏健全的管理制度，又在技术防护上偷工减料，最终因小失大。

事实上，ES数据库这类常用工具的安全防护并非难题，关键在于执行到位。企业需严格落实端口管控，将数据库部署于内网环境，关闭不必要的公网访问权限，同时强制开启身份认证与数据加密功能，按规定留存网络日志。技术防护与制度管理如同车之两轮，缺一不可，任何一方缺位都可能给数据安全埋下隐患。

筑牢全链条数据安全防线

两起案件的查处，彰显了监管部门强化数据安全治理的决心。随着数字经济深入发展，数据已成为核心生产要素，其安全直接关系到个人合法权益与社会公共利益。对企业而言，数据安全不是“选择题”而是“必修课”，既不能抱有侥幸心理，也不能止步于表面合规。

未来，企业需从三方面强化防护：一是筑牢思想防线，加强全员数据安全培训，提升员工合规意识；二是健全管理制度，覆盖数据收集、存储、传输、合作等全流程，明确各岗位安全责任；三是强化技术赋能，部署必要的防护工具，定期开展安全漏洞排查与风险评估。唯有将合规要求内化为日常运营准则，才能切实守护数据安全，实现可持续发展。

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

<

左滑了解更多详情

>

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

<

左滑了解更多详情

>

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测 管窥蠡测《湖南网信办对2家未履行数据安全保护义务的公司作出了行政处罚》