长白时评评论员 四岳

　　近期，吉林长春某医药公司在经营过程中存储大量公民个人信息，却在数据安全上“四大皆空”——无制度、无培训、无技术、无防护。其存储敏感数据的服务器甚至直接暴露于互联网，形同将客户隐私“挂在网上任人取用”。长春公安网安部门依法依据《中华人民共和国数据安全法》第二十七条、第四十五条，对该企业予以行政处罚，并责令限期整改。

　　这家公司将存储隐私数据的服务器直接暴露在互联网，如同将保险箱置于闹市街头。这起事件看似是个案，实则敲响了千千万万中小企业的警钟。在数字经济快速发展的今天，数据早已不仅是资产，更是一颗颗潜在的“炸弹”。一旦引爆，轻则罚款停业，重则倾家荡产、品牌崩塌。

　　“四大皆空”不是无知，是傲慢。该医药公司的“四大皆空”，暴露出部分企业对数据安全的系统性漠视。未建立全流程数据安全管理制度，意味着从数据采集、存储、使用到销毁，全程处于失控状态；员工缺乏基本的数据保护意识，极易因操作失误或内部泄密酿成大祸；既无加密、脱敏，也无访问控制和日志审计，数据处于“裸奔”状态；最令人震惊的是，承载大量公民个人信息的服务器竟直接暴露在公网，等同于把保险柜钥匙挂在门口。这种“省事、省力”的做法，本质上是对法律底线与社会责任的双重践踏。

　　法律红线已划清，处罚只是开始。《中华人民共和国数据安全法》自实施以来，已为数据处理活动划出明确红线。其中要求企业“建立健全全流程数据安全管理制度”，同时设定了阶梯式法律责任。初次违规，警告+5万至50万元罚款；拒不改正或造成严重后果，最高可处200万元罚款，并可责令停业整顿、吊销执照；直接责任人的个人罚款可达20万元。吉林此案虽尚未披露具体罚金数额，但其作为“护网—2025”专项行动中的典型案例，释放出强烈信号，数据安全不再是“软约束”，而是硬性合规义务。

　　从“被动合规”走向“主动免疫”。当前多数企业仍停留在“应付检查”层面，认为只要没出事就万事大吉。然而，真正的数据安全，应是一种“主动免疫”机制——像人体免疫系统一样，在威胁入侵前就识别、阻断、修复。这需要三重转变，一是治理思维升级，将数据安全纳入企业战略，由“IT部门的事”变为“一把手工程”；二是技术投入前置，在系统设计阶段即嵌入隐私保护（Privacy by Design），而非事后打补丁；三是文化意识重塑，通过常态化培训，让每位员工都成为数据安全的“守门人”。

　　别让“装睡”变成“长眠”。当数字化浪潮席卷每一个行业，数据安全防护不再是技术部门的“选修课”，而是企业生存的“必答题”。在AI、大数据、云计算深度渗透各行各业的今天，任何对数据安全的轻视，都是对企业未来的豪赌。企业若继续在数据安全战场上“装睡”，终有一天会被现实叫醒。

　　本期编辑：侯薇