发布 2024-10-22·约 1 分钟阅读·编辑部
事件简述
2023 年某省接种业务系统因接口未鉴权导致部分接种记录可被未授权访问。监管部门责令整改并对运营单位进行约谈。
三类合规问题
- 接口鉴权缺失 — 违反等保 2.0 三级「身份鉴别」控制项
- 未做安全测评 — 违反《关键信息基础设施安全保护条例》
- 未履行个人信息保护影响评估 — 违反 PIPL 第 55-56 条
整改路径
- 对外接口必须 OAuth 2.0 / API Token + 限流
- 每年至少一次等保测评
- 高风险数据处理活动启动前完成 PIA(个人信息保护影响评估)
- 建立数据安全应急响应预案
#数据安全#个人信息#接种平台
声明:本文为本中心独立分析评论,不代表任何政府机构立场,不构成法律意见。引用本文请注明来源。