随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的相继出台和施行，近日，公安部网安局公布了对网络安全违法违规事件的处罚通报。从通报的4个典型案例中，企业要参考借鉴，敲响警钟，切实履行网络安全保护义务，维护网络安全。

我们一起来看看被处罚的案例，希望企业和个人能从中吸取教训，以案为鉴，履行好义务，做遵法、守法的好企业、好公民。

案例一：数据泄露

2023年6月，昌平网安部门检查发现，昌平某生物技术有限公司存在数据泄漏的情况，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄露数据总量达19.1GB。

经检查，该软件公司在开发系统互联网测试阶段，未对相关数据进行加密，未落实安全保护措施，属于未履行数据安全保护义务。

北京市公安局昌平分局依据《中华人民共和国数据安全法》第四十五条第一款规定，给予警告并处罚款五万元的行政处罚。

案例二：弱口令账号

2023年7月13日，朝阳网安部门检查发现，朝阳某教育公司数据被泄漏到境外非法网站上，该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄漏。

经现场检查发现，因该公司技术人员在对系统测试过程中，将有权限的测试账号设为弱口令，且系统正式使用后未将测试账号进行清空删除处理。

该公司未建立数据安全管理制度和操作规程，系统未进行网络安全评估，同时此账号因弱口令被黑客破解造成大量公民个人信息被盗取泄漏，涉嫌违反《中华人民共和国数据安全法》第二十七条之规定。北京市公安局朝阳分局给予该公司罚款五万元的行政处罚。

案例三：密码爆破

2023年8月1日，一境外论坛发布题为“某教育站点教70多万订单信息”的帖文，疑似北京某教育公司发生数据泄露，针对此情况，海淀网安部门立即开展核查处置工作。

经查，该公司教务排课系统在账号密码传输前未进行加密传输，存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码，通过访问导出大批量后台数据，造成数据泄漏。

该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务，违反了《中华人民共和国数据安全法》第二十七条、第四十五条之规定。北京市公安局海淀分局对该公司给予了罚款五万元的行政处罚，给予直接负责的主管人员罚款一万元的行政处罚。

案例四：网站篡改

2023年9月14日，房山网安部门在对某科技公司检查时发现，该公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，易引发网络赌博或网络诈骗案件。

经查，该科技公司没有建立管理制度，没有定期开展漏洞扫描，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，导致网站前端源代码泄漏，造成网站内容被篡改，违反了《中华人民共和国网络安全法》第二十一条规定，属于不履行网络安全保护义务行为，北京市公安局房山分局对运营者责令改正，给予警告处罚。

这些处罚案件给我们的启发是：

一是若不符合《网络安全法》的要求，真的会被处罚！情节严重的话甚至构成犯罪，比如拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪等等。

二是后续全国各地依据《网络安全法》处罚的案例会越来越多！

接下来小编为大家分析下，除了已报道的违法行为外还有哪些行为可能会被处罚：

数据备份

第二十一条第四项，采取数据分类、重要数据备份和加密等措施。没有对重要数据进行备份和加密的会被依照此条款进行责令整改；给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置

第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的；在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份

第三十四条第三项，对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

应急演练

第三十四条第四项，制定网络安全事件应急预案，并定期进行演练。没有网络安全事件应急预案的，或者没有定期演练的，会被依照此条进行责令改正。

安全检测评估

第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有做过安全检测评估的单位要被责令改正。

企业该如何有效适配网络安全合规并做好风险控制？

今年是《网安法》实施的第7年，还有很多企业并没有把《网安法》落实甚至是存在侥幸的去忽略，否则也不会受到处罚，既然法律已经有规定，那么企业该如何做到合法合规？从网安法中我们了解到，企业做到基本的合规难度并不大，《网安法》多次提到备份重要数据和系统，说明备份是合规的基础。

数据备份一方面防止丢失，另一方面当黑客攻击无法恢复系统时，可以保证业务的正常运行。所以，我们经常说最简单也最便宜的安全措施就是数据备份。

太极风控助力企业遵规守法，保障业务不间断

太极风控「太极·简」「云宝备」国产化数据备份软件，适配主流数据库，支持信创，为企业提供最基本的合规备份需求。

以太极风控云备份产品—「云宝备」来说，不需要专业人员进行维护，成本投入不高，便可以实现文件备份、多账套备份、异地备份、数据恢复等，对于中小企业特别适用，助力企业轻松应对复杂备份！

「太极·简」数据云备份管理平台适合中大型企业数据资产的管理与备份，帮助企业实现数据资产统一化管理，并通过实时备份、双重保障、3重加密等方式保障数据的安全。

「太极·简」对有多云备份需求的企业比较适用，同时，太极·简还有本地备份的功能，如企业的数据需要本地和云端双重备份，部署太极·简一套系统即可完成备份。

结语

处罚不是目的，目的是通过处罚督促大家尽快落实自己的网络安全义务，保护自己单位的网络安全，最终保障国家安全。不要被处罚了再去整改，不要等着出了安全事件再去整改！