深圳数智引领科技有限公司
177 2251 8147
立即咨询

北京市网信办依法查处数据安全违法案件 两家企业因未履行数据安全保护义务被处罚​

发表时间:2025-06-18 14:18

北京市互联网信息办公室(以下简称"北京市网信办")近日依法查处两起企业未履行数据安全保护义务的违法案件。经查,北京某科技公司和北京某有限公司因未建立健全全流程数据安全管理制度,未采取必要的技术措施保障数据安全,导致系统存在严重安全漏洞,造成大量个人信息数据被境外IP窃取。北京市网信办依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规,对两家企业分别作出警告并处以五万元罚款的行政处罚。

一、案件基本情况

(一)北京某科技公司数据泄露案
该科技公司在开展业务过程中,由于技术人员缺乏数据安全保护意识,未对后台业务系统的接口配置访问控制和身份认证等基本安全措施,导致系统存在严重的未授权访问漏洞。经查,该漏洞使得存储在系统中的姓名、身份证号、手机号等敏感个人信息完全暴露在互联网上,并被境外IP地址非法访问窃取。

(二)北京某有限公司数据泄露案
该公司在业务开展过程中,为方便系统测试,擅自将部分服务器端口对外开放且未采取任何访问限制措施。这一违规操作导致存储在服务器中的大量姓名、手机号等个人信息数据暴露在互联网上,同样遭到境外IP地址的非法访问和窃取。

二、违法事实认定

北京市网信办经过详细调查取证,认定两家企业存在以下违法事实:

  1. 未建立健全全流程数据安全管理制度:两家企业均未按照《数据安全法》第二十七条的要求,建立覆盖数据收集、存储、使用、加工、传输、提供、公开等全流程的安全管理制度。

  2. 未采取必要的技术措施保障数据安全:根据《数据安全法》第二十一条规定,数据处理者应当采取相应的技术措施保障数据安全。但两家企业均未对系统采取基本的访问控制、身份认证等安全防护措施。

  3. 造成个人信息数据被窃取的严重后果:由于安全防护措施缺失,导致大量包含姓名、身份证号、手机号等敏感个人信息的数据被境外IP地址窃取,给个人信息主体权益造成严重损害。

三、行政处罚依据

北京市网信办依据《数据安全法》第四十五条、《个人信息保护法》第六十六条的规定,综合考虑违法情节、危害后果等因素,对两家企业作出如下行政处罚:

  1. 给予警告的行政处罚;

  2. 分别处以五万元罚款的行政处罚。

四、案件警示意义

这两起案件具有典型的警示意义:

  1. 数据安全意识淡薄:案件反映出部分企业数据安全意识严重不足,特别是技术人员对数据安全的基本防护要求认识不到位。

  2. 管理制度缺失:企业未建立完善的数据安全管理制度,对数据处理活动缺乏有效管控。

  3. 技术防护措施不足:企业未采取最基本的技术防护措施,如访问控制、身份认证等,导致系统存在严重安全漏洞。

  4. 境外数据窃取风险:两起案件均涉及境外IP地址的数据窃取,凸显了当前数据安全面临的严峻国际形势。

五、监管部门表态

北京市网信办相关负责人表示,数据安全是国家安全的重要组成部分,个人信息保护直接关系到人民群众的切身利益。下一步,北京市网信办将重点开展以下工作:

  1. 加强执法检查:将持续加大对数据安全和个人信息保护领域的执法检查力度,重点检查企业数据安全管理制度建设和技术措施落实情况。

  2. 强化技术监测:将运用技术手段加强对数据安全风险的监测预警,及时发现和处置数据安全事件。

  3. 严惩违法行为:对未履行数据安全保护义务,造成数据泄露等严重后果的违法行为,将依法从严查处。

  4. 推动行业自律:将指导行业协会制定数据安全标准规范,推动企业落实主体责任,提升全行业数据安全保护水平。

六、专家解读

中国政法大学数据法治研究院王教授指出,这两起案件具有重要的警示意义:

  1. 企业主体责任:根据《数据安全法》,数据处理者是数据安全的第一责任人,必须建立健全全流程数据安全管理制度。

  2. 技术防护要求:企业应当根据数据处理活动的风险等级,采取相应的技术措施,如访问控制、加密存储、日志审计等。

  3. 处罚力度分析:虽然本次处罚金额看似不高,但结合警告处罚和公开曝光,对企业的声誉影响不容忽视。随着执法力度的加强,未来处罚力度可能会进一步加大。

  4. 国际形势背景:在当前国际环境下,数据安全已经成为国家安全的重要方面,企业必须提高警惕,防范境外势力数据窃取风险。

七、企业合规建议

结合本案教训,专家对企业数据安全合规提出以下建议:

  1. 完善管理制度:建立覆盖数据全生命周期的安全管理制度,明确各部门、各岗位的数据安全责任。

  2. 加强技术防护:根据数据处理活动的实际情况,部署必要的安全技术措施,包括但不限于:

    • 访问控制和身份认证

    • 数据加密存储

    • 安全审计日志

    • 漏洞扫描和修复

    • 入侵检测和防护

  3. 定期安全评估:定期开展数据安全风险评估,及时发现和整改安全隐患。

  4. 加强人员培训:定期对全体员工,特别是技术人员进行数据安全培训,提高全员数据安全意识。

  5. 建立应急预案:制定数据安全事件应急预案,明确处置流程和报告机制。

八、行业影响

本次执法行动在互联网行业引起强烈反响:

  1. 企业自查自纠:多家互联网企业已开始内部数据安全专项检查,排查安全隐患。

  2. 行业组织行动:相关行业协会正在制定更详细的数据安全实施细则,指导会员单位加强数据安全保护。

  3. 安全服务需求增长:数据安全咨询、技术防护等服务需求明显增加,安全服务商业务量显著上升。

九、国际比较

与欧盟《通用数据保护条例》(GDPR)相比:

  1. 处罚力度:GDPR规定的罚款金额更高(最高可达全球营业额的4%或2000万欧元,以较高者为准),我国目前处罚力度相对较轻。

  2. 执法重点:我国更强调防范数据安全风险,特别是防范境外数据窃取;而GDPR更侧重个人权利保护。

  3. 制度要求:在数据安全管理制度、技术防护措施等方面的要求基本相当。

十、未来展望

随着数字经济的快速发展,数据安全将面临更多挑战:

  1. 立法完善:预计将出台更多配套法规和标准,细化数据安全保护要求。

  2. 执法常态化:数据安全执法将成为网信部门的常态化工作,执法力度将持续加强。

  3. 技术发展:人工智能、区块链等新技术将在数据安全保护中发挥更大作用。

  4. 国际合作:在数据跨境流动、打击数据犯罪等方面需要加强国际合作。

北京市网信办表示,将继续坚持依法管网、依法治网,切实维护数据安全和个人信息权益,为数字经济健康发展营造良好的法治环境。


深圳数智引领科技有限公司(简称:深圳数智引领)是一家专注于信息科技风险管理领域的咨询和培训机构。公司基于“数智赋能,创新引领”的理念,在信息科技风险管理咨询(评估、审计、认证)、培训、系统开发部署积累丰富的案例,为客户提供专业的一站式服务。公司是EXIN(Exam Institute for Information Science,国际信息考试学会)的官方授权单位,DPO(Data Protection Officer,数据保护官)认证官方授权培训单位。多家数据交易所的专业数据服务单位,包括深圳数据交易所、广州数据交易所、北京国际大数据交易所、贵阳大数据交易所、杭州数据交易所、浙江数据交易所等等。公司技术团队凭借领先的方法论、丰富的实践经验、优秀的服务态度、专业的服务意识,持续为银行、保险、证券、基金、能源、电信、大型国央企、外资等诸多企业客户提供着优质的信息技术风险管理咨询培训服务,受到行业客户的一致认可和广泛好评。