近日，衡山縣政府官網(wǎng)公布了行政處罰決定書，某醫(yī)療機構(gòu)數(shù)據(jù)庫存在弱口令漏洞，并且對公網(wǎng)開放，疑似醫(yī)療信息泄露，被處警告并罰款50000元。根據(jù)處罰文號看應(yīng)該是該縣年底第1例處罰決定。

《中華人民共和國數(shù)據(jù)安全法》第二十七條、第二十九條之規(guī)定：開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務(wù)。開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

依據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條：“開展數(shù)據(jù)處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數(shù)據(jù)泄露等嚴(yán)重后果的，處五十萬元以上二百萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。

技術(shù)層面：立即關(guān)閉非必要公網(wǎng)端口，減少暴露面，數(shù)據(jù)庫實施內(nèi)網(wǎng)訪問限制；啟用強密碼策略（12位+多字符組合）+ 多因素認證；部署入侵檢測系統(tǒng)（IDS）和日志審計工具。

制度層面：制定《醫(yī)療數(shù)據(jù)安全管理辦法》，明確數(shù)據(jù)訪問權(quán)限和審計流程；每季度開展?jié)B透測試與員工安全培訓(xùn)，完善上線安全檢查流程。

應(yīng)急響應(yīng)：建立泄露事件24小時報告機制（向衛(wèi)健部門、公安機關(guān)報備）；準(zhǔn)備患者告知與賠償預(yù)案，降低法律糾紛風(fēng)險。

https://www.hengshan.gov.cn/xxgk/gggs/20250724/i3753711.html