履行網(wǎng)絡(luò )安全保護義務(wù)
履行網(wǎng)絡(luò )安全保護義務(wù)是每一位網(wǎng)絡(luò )運營(yíng)者的責任��。
今年以來(lái)����,北京市公安局網(wǎng)安部門(mén)大力加強網(wǎng)絡(luò )秩序清理整頓�����,
積極開(kāi)展網(wǎng)絡(luò )安全檢查��,
對多家不履行網(wǎng)絡(luò )安全保護義務(wù)的單位依法予以處罰�����。
2023年6月����,昌平網(wǎng)安部門(mén)檢查發(fā)現����,昌平某生物技術(shù)有限公司存在數據泄漏的情況�,其委托的另一軟件公司研發(fā)的“基因外顯子數據分析系統”�����,包含公民信息�����、技術(shù)等信息��,涉及泄露數據總量達19.1GB���。
經(jīng)檢查����,該軟件公司在開(kāi)發(fā)系統互聯(lián)網(wǎng)測試階段��,未對相關(guān)數據進(jìn)行加密��,未落實(shí)安全保護措施�,屬于未履行數據安全保護義務(wù)����。
北京市公安局昌平分局依據《中華人民共和國數據安全法》第四十五條第一款規定���,給予警告并處罰款五萬(wàn)元的行政處罰�����。
2023年7月13日�����,朝陽(yáng)網(wǎng)安部門(mén)檢查發(fā)現��,朝陽(yáng)某教育公司數據被泄漏到境外非法網(wǎng)站上���,該公司的一個(gè)客戶(hù)關(guān)系管理系統內存儲的該公司員工賬號以及對應客戶(hù)姓名����、手機�、下單時(shí)間��、成交金額等12余萬(wàn)條信息被泄漏��。
經(jīng)現場(chǎng)檢查發(fā)現����,因該公司技術(shù)人員在對系統測試過(guò)程中����,將有權限的測試賬號設為弱口令�����,且系統正式使用后未將測試賬號進(jìn)行清空刪除處理��。
該公司未建立數據安全管理制度和操作規程���,系統未進(jìn)行網(wǎng)絡(luò )安全評估�,同時(shí)此賬號因弱口令被黑客破解造成大量公民個(gè)人信息被盜取泄漏�,涉嫌違反《中華人民共和國數據安全法》第二十七條之規定���。北京市公安局朝陽(yáng)分局給予該公司罰款五萬(wàn)元的行政處罰��。
2023年8月1日��,一境外論壇發(fā)布題為“某教育站點(diǎn)教70多萬(wàn)訂單信息”的帖文��,疑似北京某教育公司發(fā)生數據泄露�,針對此情況���,海淀網(wǎng)安部門(mén)立即開(kāi)展核查處置工作����。
經(jīng)查�����,該公司教務(wù)排課系統在賬號密碼傳輸前未進(jìn)行加密傳輸���,存在賬號密碼爆破的可能�����。黑客可通過(guò)爆破手段獲取賬號密碼��,通過(guò)訪(fǎng)問(wèn)導出大批量后臺數據�����,造成數據泄漏����。
該公司未建立全流程數據安全管理制度���、未落實(shí)網(wǎng)絡(luò )安全等級保護制度��、未履行數據安全保護義務(wù)��,違反了《中華人民共和國數據安全法》第二十七條�����、第四十五條之規定��。北京市公安局海淀分局對該公司給予了罰款五萬(wàn)元的行政處罰��,給予直接負責的主管人員罰款一萬(wàn)元的行政處罰�。
2023年9月14日����,房山網(wǎng)安部門(mén)在對某科技公司檢查時(shí)發(fā)現�����,該公司網(wǎng)站網(wǎng)頁(yè)源代碼被篡改����,網(wǎng)站鏈接跳轉到境外賭博網(wǎng)站���,易引發(fā)網(wǎng)絡(luò )賭博或網(wǎng)絡(luò )詐騙案件���。
經(jīng)查���,該科技公司沒(méi)有建立管理制度�����,沒(méi)有定期開(kāi)展漏洞掃描�����,未依法采取防范計算機病毒和網(wǎng)絡(luò )攻擊�、網(wǎng)絡(luò )侵入等技術(shù)措施��,導致網(wǎng)站前端源代碼泄漏�����,造成網(wǎng)站內容被篡改����,違反了《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條規定����,屬于不履行網(wǎng)絡(luò )安全保護義務(wù)行為��,北京市公安局房山分局對運營(yíng)者責令改正��,給予警告處罰����。
《中華人民共和國網(wǎng)絡(luò )安全法》
第二十一條
國家實(shí)行網(wǎng)絡(luò )安全等級保護制度��。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求����,履行下列安全保護義務(wù)����,保障網(wǎng)絡(luò )免受干擾�����、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)�,防止網(wǎng)絡(luò )數據泄露或者被竊取�����、篡改�����。
開(kāi)展數據處理活動(dòng)應當依照法律����、法規的規定�����,建立健全全流程數據安全管理制度�����,組織開(kāi)展數據安全教育培訓�����,采取相應的技術(shù)措施和其他必要措施��,保障數據安全���。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)�,應當在網(wǎng)絡(luò )安全等級保護制度的基礎上����,履行上述數據安全保護義務(wù)����。重要數據的處理者應當明確數據安全負責人和管理機構�����,落實(shí)數據安全保護責任����。
再次提醒網(wǎng)絡(luò )運營(yíng)者
依法履行網(wǎng)絡(luò )安全保護義務(wù)
切實(shí)維護網(wǎng)絡(luò )安全和數據安全
沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全
上一篇:2024年國家網(wǎng)絡(luò )安全宣傳周
下一篇:國家憲法日
