1月8日，公安部网络安全保卫局官方公众号公布了一批处罚案例，这些案例均由北京市公安局网安部门执行，对多家不履行网络安全保护义务的单位依法予以处罚。案例主要涉及数据泄露、弱口令账号、密码爆破、网站篡改四种情况，违反的法律包括《数据安全法》《网络安全法》。

案例显示，2023年6月，昌平网安部门检查发现，昌平某生物技术有限公司存在数据泄露的情况，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄露数据总量达19.1GB。经检查，该软件公司在开发系统互联网测试阶段，未对相关数据进行加密，未落实安全保护措施，属于未履行数据安全保护义务。

针对这一情况，北京市公安局昌平分局依据《数据安全法》相关规定，给予警告并处罚款五万元的行政处罚。

另一起数据泄露事件源于账号密码爆破。2023年8月1日，一境外论坛发布题为“某教育站点教70多万订单信息”的帖文，疑似北京某教育公司发生数据泄露。经海淀网安部门核查，该公司教务排课系统在账号密码传输前未进行加密传输，存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码，通过访问导出大批量后台数据，造成数据泄露。

该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务，违反了《数据安全法》相关规定。北京市公安局海淀分局对该公司给予了罚款五万元的行政处罚，直接负责的主管人员被罚款一万元。

《数据安全法》第二十七条规定，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

弱口令密码是系统安全常见的“潜在威胁”，此次公布的案例就有一起与此相关。

2023年7月13日，朝阳网安部门检查发现，朝阳某教育公司数据被泄露到境外非法网站上，该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄露。经现场检查发现，因该公司技术人员在对系统测试过程中，将有权限的测试账号设为弱口令，且系统正式使用后未将测试账号进行清空删除处理。

该公司未建立数据安全管理制度和操作规程，系统未进行网络安全评估，同时此账号因弱口令被黑客破解造成大量公民个人信息被盗取泄露，涉嫌违反《数据安全法》规定。北京市公安局朝阳分局给予该公司罚款五万元的行政处罚。

违反《网络安全法》的一起案例源于网站篡改。2023年9月14日，房山网安部门在对某科技公司检查时发现，该公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，易引发网络赌博或网络诈骗案件。

经查，该科技公司没有建立管理制度，没有定期开展漏洞扫描，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，导致网站前端源代码泄露，造成网站内容被篡改，违反了《网络安全法》相关规定，属于不履行网络安全保护义务行为。北京市公安局房山分局对运营者责令改正，给予警告处罚。

《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

南都记者梳理发现，近年来，不仅北京市相关部门对不履行网络安全保护义务的单位频频“出手”，其他省市也加大了数据安全执法的力度。

据南都此前独家报道，去年5月份以来，江苏公安执法公示平台披露过上百起类似“未履行数据安全义务”的执法案例，处罚对象包括拥有较多敏感数据的物业、房产公司、酒店、医院等。这波执法还走到街边商店，多家超市、理发店、水果店、宠物店、蛋糕店、网吧等，也被纳入检查范围。

如何帮助小微企业履行数据安全保护义务？多位专家曾告诉南都记者，普法是破题的第一步。由于大部分小企业缺乏数据安全以及个人信息保护意识，因此有必要加强宣传教育，形成一种“全民守法”的氛围。同时，鼓励产业界推出更多适用于小微企业的数据安全解决方案。

采写：南都记者樊文扬

编辑：李玲

本文作者

樊文扬

3637W

南方都市报记者

李玲

3.64亿

南方都市报记者