北京多家公司因数据泄露风险被罚

北京多家企业被罚，企业数据安全再次被敲响警钟。

未对相关数据进行加密！

2023年6月昌平某生物技术有限公司，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄漏数据总量达19.1GB。

经检查，该软件公司在开发系统互联网测试阶段，未对相关数据进行加密，未落实安全保护措施，属于未履行数据安全保护义务。依据《中华人民共和国数据安全法》第四十五条第一款规定，给予警告并处罚款五万元的行政处罚。

弱密码管理重要信息！

2023年7月朝阳某教育公司数据被泄漏到境外非法网站上，该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄漏。

经查发现，因该公司技术人员在对系统测试过程中，将有权限的测试账号设为弱口令，且系统正式使用后未将测试账号进行清空删除处理。北京市公安局朝阳分局给予该公司罚款五万元的行政处罚。

传输数据不加密！

2023年8月北京某教育公司，某教育站点教70多万订单信息泄露。

经查，该公司教务排课系统在账号密码传输前未进行加密传输，存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码，通过访问导出大批量后台数据，造成数据泄漏。北京市公安局海淀分局对该公司给予了罚款五万元的行政处罚，给予直接负责的主管人员罚款一万元的行政处罚。

未采取相应防护措施！

2023年9月房山网安部门在对某科技公司检查时发现，该公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，易引发网络赌博或网络诈骗案件。

经查，该科技公司没有建立管理制度，没有定期开展漏洞扫码，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，导致网站前端源代码泄漏，造成网站内容被篡改。依据《中华人民共和国网络安全法》第二十一条规定，属于不履行网络安全保护义务行为，北京市公安局房山分局对运营者责令改正，给予警告处罚。

如果企业发生数据泄露，或者随便一个人都能比较轻易地拿到那些本该不公开的数据，那么这个企业的声誉会断崖式下跌，直接导致消费者的信任崩盘，从而不会在购买这家公司的产品。如果泄露的数据包含了大量的个人信息，比如身份证号，照片，电话，那么会违反了相关法律条例，等着企业的就是法律制裁及罚单。如果泄露的是企业商业机密，那么企业将失去市场竞争力，或遭遇勒索，给企业带来极大的经济损失。

企业如何保护数据和隐私安全？

1、制定明确的数据隐私安全策略，制定相关隐私政策和程序，编写数据安全标准文档，明确员工使用数据的相关场景和合规性。

2、对企业数据进行分类和标记，根据数据的敏感性和重要性分级，并制定不同的保护措施。对敏感数据进行加密，确保数据在传输和存储过程中的安全性。

3、专人负责企业数据库的管理，严格实施数据库访问控制权限，对有授权的员工增加访问权限，分配恰当的访问权限。定期进行访问权限的自查管理，对于不同的用户，及时清理。

4、制定完成的验证流程，通过流程，才能进行数据访问，保证数据的安全性。

5.对于企业数据，制定数据备份和恢复策略，定期备份重要数据并检查数据完整性。

6.对数据进行监测和追踪，记录数据访问和使用的日志，定期进行检查，及时发现异常的访问行为，防止数据泄露。