履行網絡安全保護義務是每一(yī)位網絡運營者的(de)責任。
今年(nián)以來,北京市公安局網安部門大(dà)力加強網絡秩序清理(lǐ)整頓,
積極開展網絡安全檢查,
對多(duō)家不履行網絡安全保護義務的(de)單位依法予以處罰。
01
數據洩漏
2023年(nián)6月,昌平網安部門檢查發現,昌平某生(shēng)物技術有限公司存在數據洩漏的(de)情況,其委托的(de)另一(yī)軟件公司研發的(de)“基因外顯子數據分析系統”,包含公民(mín)信息、技術等信息,涉及洩露數據總量達19.1GB。
經檢查,該軟件公司在開發系統互聯網測試階段,未對相關數據進行加密,未落實安全保護措施,屬于未履行數據安全保護義務。
北京市公安局昌平分局依據《中華人(rén)民(mín)共和國數據安全法》第四十五條第一(yī)款規定,給予警告并處罰款五萬元的(de)行政處罰。
02
弱口令賬号
2023年(nián)7月13日,朝陽網安部門檢查發現,朝陽某教育公司數據被洩漏到境外非法網站(zhan)上,該公司的(de)一(yī)個客戶關系管理(lǐ)系統内存儲的(de)該公司員工(gōng)賬号以及對應客戶姓名、手機、下單時間、成(chéng)交金額等12餘萬條信息被洩漏。
經現場檢查發現,因該公司技術人(rén)員在對系統測試過程中,将有權限的(de)測試賬号設爲弱口令,且系統正式使用後未将測試賬号進行清空删除處理(lǐ)。
該公司未建立數據安全管理(lǐ)制度和操作(zuò)規程,系統未進行網絡安全評估,同時此賬号因弱口令被黑客破解造成(chéng)大(dà)量公民(mín)個人(rén)信息被盜取洩漏,涉嫌違反《中華人(rén)民(mín)共和國數據安全法》第二十七條之規定。北京市公安局朝陽分局給予該公司罰款五萬元的(de)行政處罰。
03
密碼爆破
2023年(nián)8月1日,一(yī)境外論壇發布題爲“某教育站(zhan)點教70多(duō)萬訂單信息”的(de)帖文,疑似北京某教育公司發生(shēng)數據洩露,針對此情況,海澱網安部門立即開展核查處置工(gōng)作(zuò)。
經查,該公司教務排課系統在賬号密碼傳輸前未進行加密傳輸,存在賬号密碼爆破的(de)可(kě)能(néng)。黑客可(kě)通過爆破手段獲取賬号密碼,通過訪問導出大(dà)批量後台數據,造成(chéng)數據洩漏。
該公司未建立全流程數據安全管理(lǐ)制度、未落實網絡安全等級保護制度、未履行數據安全保護義務,違反了(le)《中華人(rén)民(mín)共和國數據安全法》第二十七條、第四十五條之規定。北京市公安局海澱分局對該公司給予了(le)罰款五萬元的(de)行政處罰,給予直接負責的(de)主管人(rén)員罰款一(yī)萬元的(de)行政處罰。
04
網站(zhan)篡改
2023年(nián)9月14日,房山(shān)網安部門在對某科(kē)技公司檢查時發現,該公司網站(zhan)網頁源代碼被篡改,網站(zhan)鏈接跳轉到境外賭博網站(zhan),易引發網絡賭博或(huo)網絡詐騙案件。
經查,該科(kē)技公司沒有建立管理(lǐ)制度,沒有定期開展漏洞掃描,未依法采取防範計算機病毒和網絡攻擊、網絡侵入等技術措施,導緻網站(zhan)前端源代碼洩漏,造成(chéng)網站(zhan)内容被篡改,違反了(le)《中華人(rén)民(mín)共和國網絡安全法》第二十一(yī)條規定,屬于不履行網絡安全保護義務行爲,北京市公安局房山(shān)分局對運營者責令改正,給予警告處罰。
《中華人(rén)民(mín)共和國網絡安全法》
第二十一(yī)條
國家實行網絡安全等級保護制度。網絡運營者應當按照(zhào)網絡安全等級保護制度的(de)要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或(huo)者未經授權的(de)訪問,防止網絡數據洩露或(huo)者被竊取、篡改。
《中華人(rén)民(mín)共和國數據安全法》
第二十七條
開展數據處理(lǐ)活動應當依照(zhào)法律、法規的(de)規定,建立健全全流程數據安全管理(lǐ)制度,組織開展數據安全教育培訓,采取相應的(de)技術措施和其他(tā)必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理(lǐ)活動,應當在網絡安全等級保護制度的(de)基礎上,履行上述數據安全保護義務。重要數據的(de)處理(lǐ)者應當明(míng)确數據安全負責人(rén)和管理(lǐ)機構,落實數據安全保護責任。
【網警有話說】
再次提醒網絡運營者
依法履行網絡安全保護義務
切實維護網絡安全和數據安全
沒有網絡安全就(jiù)沒有國家安全
上一(yī)篇:沒有了(le) 下一(yī)篇:國家憲法日
