未履行数据安全保护义务致用户信息被窃取，北京2家企业被查处

据网信北京，近期，部分企业因未依法履行数据安全保护义务，造成用户个人信息数据被窃取，北京市网信办依法对涉案企业进行了查处，并通报2起典型案例。

案例1：北京某科技公司在开展业务过程中，因技术人员缺乏数据安全保护意识，未对后台业务系统的接口配置访问控制和身份认证等安全措施，导致该系统存在未授权访问漏洞，使储存于其中的姓名、身份证号、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

案例2：北京某有限公司在开展业务过程中，为方便系统测试，将ES数据库的9200端口对外开放且未限制访问，导致ES数据库存在未授权访问漏洞，使储存于其中的姓名、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

上述2家典型企业均因未依法履行数据安全保护义务，未建立健全全流程数据安全管理制度，相关系统未采取技术措施和其他必要措施保障数据安全，造成部分个人信息数据遭窃取，违反《中华人民共和国数据安全法》第二十七条规定。

北京市网信办依据《中华人民共和国数据安全法》第四十五条，对这两家企业作出警告，并处5万元罚款的行政处罚。

北京市网信办相关负责人表示，企业应当依法履行数据安全保护义务，建立健全全流程数据安全管理制度，落实网络安全等级保护要求，加强数据访问权限管控和端口管理力度，设置符合强度要求的登录密码，配置访问IP白名单，通过技术手段对个人信息数据进行脱敏、加密处理，定期组织开展安全培训、漏洞扫描等相关工作。

其还称，下一步，将针对数据安全保护义务履行不力，造成重要数据遭窃取的违法违规行为加强监督执法，营造安全稳定的网络环境。