履行網(wǎng)絡(luò)安全保護(hù)義務(wù)是每一位網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任。
今年以來,北京市公安局網(wǎng)安部門大力加強(qiáng)網(wǎng)絡(luò)秩序清理整頓,
積極開展網(wǎng)絡(luò)安全檢查,
對(duì)多家不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的單位依法予以處罰。
01
數(shù)據(jù)泄漏
2023年6月,昌平網(wǎng)安部門檢查發(fā)現(xiàn),昌平某生物技術(shù)有限公司存在數(shù)據(jù)泄漏的情況,其委托的另一軟件公司研發(fā)的“基因外顯子數(shù)據(jù)分析系統(tǒng)”,包含公民信息、技術(shù)等信息,涉及泄露數(shù)據(jù)總量達(dá)19.1GB。
經(jīng)檢查,該軟件公司在開發(fā)系統(tǒng)互聯(lián)網(wǎng)測(cè)試階段,未對(duì)相關(guān)數(shù)據(jù)進(jìn)行加密,未落實(shí)安全保護(hù)措施,屬于未履行數(shù)據(jù)安全保護(hù)義務(wù)。
北京市公安局昌平分局依據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條第一款規(guī)定,給予警告并處罰款五萬元的行政處罰。
02
弱口令賬號(hào)
2023年7月13日,朝陽網(wǎng)安部門檢查發(fā)現(xiàn),朝陽某教育公司數(shù)據(jù)被泄漏到境外非法網(wǎng)站上,該公司的一個(gè)客戶關(guān)系管理系統(tǒng)內(nèi)存儲(chǔ)的該公司員工賬號(hào)以及對(duì)應(yīng)客戶姓名、手機(jī)、下單時(shí)間、成交金額等12余萬條信息被泄漏。
經(jīng)現(xiàn)場(chǎng)檢查發(fā)現(xiàn),因該公司技術(shù)人員在對(duì)系統(tǒng)測(cè)試過程中,將有權(quán)限的測(cè)試賬號(hào)設(shè)為弱口令,且系統(tǒng)正式使用后未將測(cè)試賬號(hào)進(jìn)行清空刪除處理。
該公司未建立數(shù)據(jù)安全管理制度和操作規(guī)程,系統(tǒng)未進(jìn)行網(wǎng)絡(luò)安全評(píng)估,同時(shí)此賬號(hào)因弱口令被黑客破解造成大量公民個(gè)人信息被盜取泄漏,涉嫌違反《中華人民共和國(guó)數(shù)據(jù)安全法》第二十七條之規(guī)定。北京市公安局朝陽分局給予該公司罰款五萬元的行政處罰。
03
密碼爆破
2023年8月1日,一境外論壇發(fā)布題為“某教育站點(diǎn)教70多萬訂單信息”的帖文,疑似北京某教育公司發(fā)生數(shù)據(jù)泄露,針對(duì)此情況,海淀網(wǎng)安部門立即開展核查處置工作。
經(jīng)查,該公司教務(wù)排課系統(tǒng)在賬號(hào)密碼傳輸前未進(jìn)行加密傳輸,存在賬號(hào)密碼爆破的可能。黑客可通過爆破手段獲取賬號(hào)密碼,通過訪問導(dǎo)出大批量后臺(tái)數(shù)據(jù),造成數(shù)據(jù)泄漏。
該公司未建立全流程數(shù)據(jù)安全管理制度、未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、未履行數(shù)據(jù)安全保護(hù)義務(wù),違反了《中華人民共和國(guó)數(shù)據(jù)安全法》第二十七條、第四十五條之規(guī)定。北京市公安局海淀分局對(duì)該公司給予了罰款五萬元的行政處罰,給予直接負(fù)責(zé)的主管人員罰款一萬元的行政處罰。
04
網(wǎng)站篡改
2023年9月14日,房山網(wǎng)安部門在對(duì)某科技公司檢查時(shí)發(fā)現(xiàn),該公司網(wǎng)站網(wǎng)頁源代碼被篡改,網(wǎng)站鏈接跳轉(zhuǎn)到境外賭博網(wǎng)站,易引發(fā)網(wǎng)絡(luò)賭博或網(wǎng)絡(luò)詐騙案件。
經(jīng)查,該科技公司沒有建立管理制度,沒有定期開展漏洞掃描,未依法采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等技術(shù)措施,導(dǎo)致網(wǎng)站前端源代碼泄漏,造成網(wǎng)站內(nèi)容被篡改,違反了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定,屬于不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)行為,北京市公安局房山分局對(duì)運(yùn)營(yíng)者責(zé)令改正,給予警告處罰。
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
第二十一條
國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
《中華人民共和國(guó)數(shù)據(jù)安全法》
第二十七條
開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,履行上述數(shù)據(jù)安全保護(hù)義務(wù)。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。
【網(wǎng)警有話說】
再次提醒網(wǎng)絡(luò)運(yùn)營(yíng)者
依法履行網(wǎng)絡(luò)安全保護(hù)義務(wù)
切實(shí)維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全
沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全