今年以来，北京市网信办持续加强数据安全领域执法力度。近期，部分企业因未依法履行数据安全保护义务，其相关系统、服务器或数据库存在未授权访问漏洞和弱口令漏洞问题，造成数据被窃取，北京市网信办依法对涉案企业进行了查处。现将2起典型案例通报如下：

案例1：北京某科技公司在开展业务过程中，因技术人员缺乏数据安全保护意识，未对后台业务系统的接口配置访问控制和身份认证等安全措施，导致该系统存在未授权访问漏洞，使储存于其中的姓名、身份证号、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。该公司未依法履行数据安全保护义务，未建立健全全流程数据安全管理制度，相关系统未采取技术措施和其他必要措施保障数据安全，造成部分个人信息数据遭窃取，违反《中华人民共和国数据安全法》第二十七条规定。针对以上违法情况，北京市网信办依据《中华人民共和国数据安全法》第四十五条，对北京某科技公司作出警告，并处五万元罚款的行政处罚。

案例2：北京某有限公司在开展业务过程中，为方便系统测试，将ES数据库的9200端口对外开放且未限制访问，导致ES数据库存在未授权访问漏洞，使储存于其中的姓名、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。该公司数据安全保护意识淡薄，未依法履行数据安全保护义务，未建立健全全流程数据安全管理制度，相关系统未采取技术措施和其他必要措施保障数据安全，造成部分个人信息数据遭窃取，违反《中华人民共和国数据安全法》第二十七条规定。针对以上违法情况，北京市网信办依据《中华人民共和国数据安全法》第四十五条，对北京某有限公司作出警告，并处五万元罚款的行政处罚。

北京市网信办相关负责人表示，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定。部分企业因业务需求，需要收集储存大量个人信息等敏感数据，一旦被窃取或非法利用，会造成社会危害。企业应当依法履行数据安全保护义务，建立健全全流程数据安全管理制度，落实网络安全等级保护要求，加强数据访问权限管控和端口管理力度，设置符合强度要求的登录密码，配置访问IP白名单，通过技术手段对个人信息数据进行脱敏、加密处理，定期组织开展安全培训、漏洞扫描等相关工作。下一步，北京市网信办将针对数据安全保护义务履行不力，造成重要数据遭窃取的违法违规行为加强监督执法，营造安全稳定的网络环境。

法律链接

《中华人民共和国数据安全法》第二十七条：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条：开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

奔流新闻线索报料方式  

^{热线：13893646444（微信同号）}

^{拍客：benliunews@163.com}

展开剩余部分

打开奔流新闻APP，阅读体验更好