行業資訊
北京多家公司因不履行網絡安全保護義務被處罰!
發表日期:2024年01月10日履行網絡安全保護義務是每一位網絡運營者的責任。今年以來,北京市公安局網安部門大力加強網絡秩序清理整頓,積極開展網絡安全檢查,對多家不履行網絡安全保護義務的單位依法予以處罰。
01
數據泄漏
2023年6月,昌平網安部門檢查發現,昌平某生物技術有限公司存在數據泄漏的情況,其委托的另一軟件公司研發的“基因外顯子數據分析系統”,包含公民信息、技術等信息,涉及泄露數據總量達19.1GB。
經檢查,該軟件公司在開發系統互聯網測試階段,未對相關數據進行加密,未落實安全保護措施,屬于未履行數據安全保護義務。
北京市公安局昌平分局依據《中華人民共和國數據安全法》第四十五條第一款規定,給予警告并處罰款五萬元的行政處罰。
02
弱口令賬號
2023年7月13日,朝陽網安部門檢查發現,朝陽某教育公司數據被泄漏到境外非法網站上,該公司的一個客戶關系管理系統內存儲的該公司員工賬號以及對應客戶姓名、手機、下單時間、成交金額等12余萬條信息被泄漏。
經現場檢查發現,因該公司技術人員在對系統測試過程中,將有權限的測試賬號設為弱口令,且系統正式使用后未將測試賬號進行清空刪除處理。
該公司未建立數據安全管理制度和操作規程,系統未進行網絡安全評估,同時此賬號因弱口令被黑客破解造成大量公民個人信息被盜取泄漏,涉嫌違反《中華人民共和國數據安全法》第二十七條之規定。北京市公安局朝陽分局給予該公司罰款五萬元的行政處罰。
03
密碼爆破
2023年8月1日,一境外論壇發布題為“某教育站點教70多萬訂單信息”的帖文,疑似北京某教育公司發生數據泄露,針對此情況,海淀網安部門立即開展核查處置工作。
經查,該公司教務排課系統在賬號密碼傳輸前未進行加密傳輸,存在賬號密碼爆破的可能。黑客可通過爆破手段獲取賬號密碼,通過訪問導出大批量后臺數據,造成數據泄漏。
該公司未建立全流程數據安全管理制度、未落實網絡安全等級保護制度、未履行數據安全保護義務,違反了《中華人民共和國數據安全法》第二十七條、第四十五條之規定。北京市公安局海淀分局對該公司給予了罰款五萬元的行政處罰,給予直接負責的主管人員罰款一萬元的行政處罰。
04
網站篡改
2023年9月14日,房山網安部門在對某科技公司檢查時發現,該公司網站網頁源代碼被篡改,網站鏈接跳轉到境外賭博網站,易引發網絡賭博或網絡詐騙案件。
經查,該科技公司沒有建立管理制度,沒有定期開展漏洞掃描,未依法采取防范計算機病毒和網絡攻擊、網絡侵入等技術措施,導致網站前端源代碼泄漏,造成網站內容被篡改,違反了《中華人民共和國網絡安全法》第二十一條規定,屬于不履行網絡安全保護義務行為,北京市公安局房山分局對運營者責令改正,給予警告處罰。
《中華人民共和國網絡安全法》
第二十一條
國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
《中華人民共和國數據安全法》
第二十七條
開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
【網警有話說】
再次提醒網絡運營者
依法履行網絡安全保護義務
切實維護網絡安全和數據安全
沒有網絡安全就沒有國家安全
來源:公安部網安局官方微信公眾號
