據網信北京，近期，部分企業因未依法履行數據安全保護義務，造成用戶個人信息數據被竊取，北京市網信辦依法對涉案企業進行了查處，并通報2起典型案例。

案例1：北京某科技公司在開展業務過程中，因技術人員缺乏數據安全保護意識，未對后臺業務系統的接口配置訪問控制和身份認證等安全措施，導致該系統存在未授權訪問漏洞，使儲存于其中的姓名、身份證號、手機號等個人信息數據暴露于互聯網，并被境外IP訪問竊取。

案例2：北京某有限公司在開展業務過程中，為方便系統測試，將ES數據庫的9200端口對外開放且未限制訪問，導致ES數據庫存在未授權訪問漏洞，使儲存于其中的姓名、手機號等個人信息數據暴露于互聯網，并被境外IP訪問竊取。

上述2家典型企業均因未依法履行數據安全保護義務，未建立健全全流程數據安全管理制度，相關系統未采取技術措施和其他必要措施保障數據安全，造成部分個人信息數據遭竊取，違反《中華人民共和國數據安全法》第二十七條規定。

北京市網信辦依據《中華人民共和國數據安全法》第四十五條，對這兩家企業作出警告，并處5萬元罰款的行政處罰。

北京市網信辦相關負責人表示，企業應當依法履行數據安全保護義務，建立健全全流程數據安全管理制度，落實網絡安全等級保護要求，加強數據訪問權限管控和端口管理力度，設置符合強度要求的登錄密碼，配置訪問IP白名單，通過技術手段對個人信息數據進行脫敏、加密處理，定期組織開展安全培訓、漏洞掃描等相關工作。

其還稱，下一步，將針對數據安全保護義務履行不力，造成重要數據遭竊取的違法違規行為加強監督執法，營造安全穩定的網絡環境。