停车系统没加密、无管理制度，这家单位就被罚？

停车管理系统如今已成为交通网络的“标配”。

从商业综合体到住宅小区，从公共停车场到办公园区，这一系统每天都在海量存储着车主手机号、车牌号、停车位置和时长等核心数据。在不少系统配置中，甚至还能调取到车主的姓名和身份证号。可以说，每一辆车驶入停车场的那一刻，车主的大量个人隐私就已经被纳入了这个“数字档案袋”。

正是这样一个数据密集型的场景，却成为个人信息保护的高风险地带。

近期，福建泉州公安网安部门就办理了一起典型案例：某单位的停车管理系统，因未履行个人信息保护义务，被公安机关依法实施行政处罚。经查，该单位作为个人信息处理者，既未制定内部管理制度和操作规程，也未采取相应的加密、去标识化等安全技术措施，致使系统中的个人信息存在被非法窃取、泄露的安全风险，侵害了公民在网络空间的合法权益。

换句话说，该单位的停车管理系统在日常运行中，几乎处于“零防护”状态——没有安全制度约束谁可以访问哪些数据，也没有技术手段对存储的敏感信息加以保护。这就好比把海量的个人信息文件放在一个没有上锁的柜子里，谁拿到钥匙就能轻易打开。尽管尚未查证已有实际泄露发生，但隐患本身就已经构成了违法。属地公安机关依据《中华人民共和国个人信息保护法》对该单位依法予以行政处罚。

有网友可能会问，看似“未泄露”，为何仍然构成违法？

个人信息保护法规定，个人信息处理者应当采取的措施，包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密和去标识化等安全技术措施、合理确定操作权限并定期开展安全培训、制定并组织实施应急预案等，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

事件中该单位既无制度规范，又缺技术防护，显然未能落实这一规定的法定义务。

个人信息保护法规定了发生数据安全事件后的处置要求：发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

该单位在管理真空的状态下，一旦遭遇网络攻击或内部人员违规操作，不仅自身无力及时采取有效补救，甚至连向监管部门准确报告的能力都不具备，风险处置链条近乎断裂。

其实，泉州这一案件并非孤立事件。近年来，围绕智能管理场景的个人信息保护执法力度持续加大，相关的行政警告、责令整改乃至罚款处罚频频落地。公安部网安局公布“护网—2025”专项工作六起行政执法典型案例，涵盖短信平台、学校系统、电商平台等多个领域的个人信息泄露事件。

这类案件的反复出现，折射出部分单位在个人信息保护上的三大“通病”：制度缺位，技术缺失，意识淡漠。为此，网安部门指出，个人信息处理者，无论规模大小，都应严格落实个人信息安全保护主体责任，切实摒弃侥幸心理，认真履行法定义务：一是完善制度体系，落实主体责任，二是强化技术防护，筑牢安全防线，三是常态自查自纠，及时整改隐患。

随着公安机关网安部门对个人信息保护执法的持续深化，任何抱有侥幸心理、企图“应付式整改”的单位，都将面临法律的严肃追责。个人信息处理者务必摒弃“不出事就没事”的错误心态，真正把数据安全当回事，把公民的隐私权当回事。

（大众新闻记者 刘一颖 许光宇）