北京多家公司因不履行网络安全保护义务被处罚

据“公安部网安局”微信公众号消息，今年以来，北京市公安局网安部门大力加强网络秩序清理整顿，积极开展网络安全检查，对多家单位因不履行网络安全保护义务而被依法处罚。

数据泄漏

今年以来，北京市公安局网安部门加大力度整顿网络秩序，积极检查网络安全情况。因为19.1GB的公民信息和技术等数据泄漏问题，昌平某生物技术有限公司遭受到了处罚。据昌平区网安部门报告，该公司委托的一家软件公司开发的“基因外显子数据分析系统”内含有大量敏感信息，但未能妥善保护，导致数据泄露。

经过初步检查，发现该软件公司在系统开发和互联网测试阶段存在严重的数据安全问题。数据没有经过加密，缺乏必要的安全保护措施，未履行数据安全保护义务。

基于《中华人民共和国数据安全法》第四十五条**款的规定，北京市公安局昌平分局决定对该公司给予警告并处以五万元的罚款。

弱密码账户

2023年7月13日，朝阳区网安部门进行检查发现，朝阳某教育公司的数据已经泄漏到境外非法网站。该公司一个客户关系管理系统中存储的员工账户及其对应的客户姓名、手机号码、下单时间、成交金额等超过12万条信息被泄漏。

现场检查发现，该公司的技术人员在系统测试过程中，将拥有权限的测试账户设为了弱密码。而且在系统正式使用后，这些测试账户并未被清空或删除处理。

由于该公司未建立健全的数据安全管理制度和操作规程，系统未进行网络安全评估，而且这些弱密码账户被黑客攻破，导致大量公民个人信息被盗取泄漏。该公司涉嫌违反《中华人民共和国数据安全法》第二十七条之规定。北京市公安局朝阳分局决定对该公司罚款五万元的行政处罚。

密码破解

2023年8月1日，一境外论坛发布题为“某教育站点教70多万订单信息”的帖文，疑似北京某教育公司发生数据泄露，针对此情况，海淀网安部门立即展开核查处置工作。

经调查，该公司教务排课系统在账户密码传输前未进行加密传输，存在账户密码被破解的可能性。黑客可以通过暴力破解手段获取账户密码，进而访问并导出大量后台数据，导致数据泄露。

该公司未建立全流程数据安全管理制度，未落实网络安全等级保护制度，未履行数据安全保护义务，违反了《中华人民共和国数据安全法》第二十七条和第四十五条的规定。北京市公安局海淀分局对该公司处以罚款五万元的行政处罚，并对直接负责的主管人员处以罚款一万元的行政处罚。

网站篡改

2023年9月14日，房山网安部门在对某科技公司进行检查时发现，该公司的网站网页源代码已被篡改，导致网站链接跳转到境外赌博网站，可能引发网络赌博或网络诈骗案件。

经过调查，发现该科技公司没有建立管理制度，也没有定期进行漏洞扫描，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，使得网站的前端源代码泄漏，导致网站内容被篡改，这违反了《中华人民共和国网络安全法》第二十一条的规定，属于不履行网络安全保护义务的行为。北京市公安局房山分局对该网站的运营者责令改正，并给予警告处罚。

延伸：

中华人民共和国网络安全法

第二十一条

国家实行网络安全等级保护制度。网络运营者必须按照网络安全等级保护制度的规定，执行以下安全保护职责，以确保网络免受干扰、破坏或未经授权访问，并防止网络数据泄露、窃取和篡改等问题。

中国数据安全法

第27条

进行数据处理活动时，应依据法律及法规规定，建立完整的数据安全管理制度，实施数据安全教育培训，采取必要的技术及其他措施，确保数据的安全。进行互联网和其他信息网络数据处理活动时，应在网络安全等级保护制度的基础上，履行上述数据安全保护职责。对重要数据的处理者应指定明确的数据安全负责人及管理机构，落实数据安全责任。

【网警提示】

网络运营者需要切实履行网络安全保护职责，维护网络和数据安全。没有网络安全就没有国家安全。