2023年4月，江西某股份有限公司运营的OA系统遭黑客攻击并植入木马病毒，导致服务器存在受控风险。经南昌市网信办调查，该公司OA系统及服务器存储大量敏感数据，但存在以下违规行为：

1、未履行数据安全保护义务：系统感染可获取服务器文件管理权限和命令执行权限的木马程序，违反《数据安全法》第二十七条；

2、未加强风险监测与处置：发现数据安全漏洞风险和事件后未采取补救措施，未履行风险监测及告知义务，违反《数据安全法》第二十九条。

南昌市网信办依法对该公司处以警告、罚款50万元，并对直接负责的主管人员罚款5万元。

本案典型性在于企业系统性漠视数据安全主体责任：

1、风险监测机制缺位：

该公司未建立数据安全风险动态监测体系，对OA系统存在的木马入侵隐患未能主动识别，导致攻击发生后仍处于被动状态。这直接违反《数据安全法》第二十九条“开展数据处理活动应加强风险监测”的强制性要求。

2、漏洞处置严重滞后：

在系统已遭攻击、数据面临泄露的情况下，企业未采取技术补救（如隔离受控服务器、清除恶意程序）或向用户及主管部门报告风险，放任危害持续扩大。该行为背离“发现安全缺陷时立即补救”的法定义务，凸显内部应急流程的形同虚设。

3、执法凸显“双罚制”威慑：

本案处罚同时追究企业（50万元罚款）与直接责任人（5万元罚款），体现《数据安全法》第四十五条“单位与责任人员双罚”原则。尤其对主管人员的高额罚单，警示企业决策层需将数据安全纳入治理核心，而非仅依赖技术部门。