履行網路安全保護義務是每一位網路運營者的責任。今年以來,北京市公安局網安部門大力加強網路秩序清理整頓,積極開展網路安全檢查,對多家不履行網路安全保護義務的單位依法予以處罰。
01
數據泄漏
2023年6月,昌平網安部門檢查發現,昌平某生物技術有限公司存在數據泄漏的情況,其委託的另一軟體公司研發的“基因外顯子數據分析系統”,包含公民資訊、技術等資訊,涉及泄漏數據總量達19.1GB。
經檢查,該軟體公司在開發系統網際網路測試階段,未對相關數據進行加密,未落實安全保護措施,屬於未履行數據安全保護義務。
北京市公安局昌平分局依據《中華人民共和國數據安全法》第四十五條第一款規定,給予警告並處罰款五萬元的行政處罰。
02
弱密碼賬號
2023年7月13日,朝陽網安部門檢查發現,朝陽某教育公司數據被泄漏到境外非法網站上,該公司的一個客戶關係管理系統記憶體儲的該公司員工賬號以及對應客戶姓名、手機、下單時間、成交金額等12余萬條資訊被泄漏。
經現場檢查發現,因該公司技術人員在對系統測試過程中,將有許可權的測試賬號設為弱密碼,且系統正式使用後未將測試賬號進行清空刪除處理。
該公司未建立數據安全管理制度和操作規程,系統未進行網路安全評估,同時此賬號因弱密碼被駭客破解造成大量公民個人資訊被盜取泄漏,涉嫌違反《中華人民共和國數據安全法》第二十七條之規定。北京市公安局朝陽分局給予該公司罰款五萬元的行政處罰。
03
密碼爆破
2023年8月1日,一境外論壇發佈題為“某教育站點教70多萬訂單資訊”的帖文,疑似北京某教育公司發生數據泄漏,針對此情況,海淀網安部門立即開展核查處置工作。
經查,該公司教務排課系統在賬號密碼傳輸前未進行加密傳輸,存在賬號密碼爆破的可能。駭客可通過爆破手段獲取賬號密碼,通過訪問導出大批量後臺數據,造成數據泄漏。
該公司未建立全流程數據安全管理制度、未落實網路安全等級保護制度、未履行數據安全保護義務,違反了《中華人民共和國數據安全法》第二十七條、第四十五條之規定。北京市公安局海淀分局對該公司給予了罰款五萬元的行政處罰,給予直接負責的主管人員罰款一萬元的行政處罰。
04
網站篡改
2023年9月14日,房山網安部門在對某科技公司檢查時發現,該公司網站網頁源代碼被篡改,網站連結跳轉到境外賭博網站,易引發網路賭博或網路詐騙案件。
經查,該科技公司沒有建立管理制度,沒有定期開展漏洞掃碼,未依法採取防範電腦病毒和網路攻擊、網路侵入等技術措施,導致網站前端源代碼泄漏,造成網站內容被篡改,違反了《中華人民共和國網路安全法》第二十一條規定,屬於不履行網路安全保護義務行為,北京市公安局房山分局對運營者責令改正,給予警告處罰。
重點來了!
《中華人民共和國網路安全法》
第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據洩露或者被竊取、篡改。
《中華人民共和國數據安全法》
第二十七條
開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施,保障數據安全。利用網際網路等資訊網路開展數據處理活動,應當在網路安全等級保護制度的基礎上,履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
【網警有話説】
再次提醒網路運營者
依法履行網路安全保護義務
切實維護網路安全和數據安全
沒有網路安全就沒有國家安全
來源:潮新聞 | 撰稿:公安部網安局微信公號 | 責編:俞舒珺 審核:張淵
新聞投稿:184042016@qq.com 新聞熱線:135 8189 2583