数据安全 · 处罚案例
随着数字经济成为世界经济发展的新动力,推动数据量的高速增长,数据安全风险也在同步激增。同时传统的犯罪类型也借助新型技术不断形成新的变种,在侵犯数据权益的同时,对社会公共利益乃至国家安全也造成严重威胁。同时,随着《中华人民共和国数据安全法》(下文简称为《数据安全法》)的生效,不仅极大地保护了国家、社会和公民的数据安全,也表明了国家治理数据安全的决心。本文基于数安法实施近两年来,被公开作出行政处罚的典型案例32起,从不同维度对案例进行了分析总结。
2 数据安全处罚事件逐年升高,
2023年呈爆发式增长
通过对近两年数据安全事件发生的时间进行汇总,2021年共发生5起,2022年共发生6起,2023年到目前为止已发生21起。相比前两年,2023年呈爆发式增长。并且2023年每个月都有处罚案例,在3月和4月分别达到5起和8起。说明随着《数据安全法》实施和相关配套体系的完善,相关部门正加大执法力度和频度。
从行业分布来看数据安全处罚事件涉及互联网、医疗、金融等行业,其中互联网行业作为重灾区发生了10起数据安全处罚事件,占比32%。其中某些处罚是多对家单位的合并处罚,共包含了上百家运营主体。
通过对所有数据安全处罚事件进行归因分析,发现未对数据采取相应的技术保护措施和管理制度的占比为66%。原因是大多数企业或组织对于数据安全的认知和重视性不足,投入较少,存在侥幸心理。
可将所有违法行为和其对应的问题进总结归类为四类问题。
|
|
|
|
未对敏感数据采取去标识化和加密措施等技术保护措施,导致数据泄露或存在数据泄露风险。
|
|
|
对已有漏洞不修复不管理,已经遭受攻击或被植入暗链、木马等。
|
|
|
|
|
|
数据处理者未遵守数据交易安全的规定,
擅自向境外提供重要数据。
|
|
其中数据保护义务的问题多达28起,数据安全应急处置问题以及数据风险评估和监测的问题分别有3起,数据交易的安全问题2起。
通过对所有数据安全法处罚案例的总结,违反的法规条目主要有《数据安全法》第二十七条、二十九条、三十一条、三十二条、三十三条、三十五条、四十条。
|
|
|
|
|
|
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
|
|
|
|
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
|
|
|
|
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
|
|
|
|
任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
|
|
|
|
从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
|
1起
|
|
|
公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
|
|
|
|
国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
|
1起
|
将上述表格可视化展示如下:
通过对所有数据安全法处罚案例的总结,处罚的法规条目主要有《数据安全法》第四十五条、四十六条、四十七条、四十九条。
|
|
|
|
|
|
开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
|
|
|
|
违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
|
|
|
|
从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
|
|
|
|
国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
|
|
8 对企业处罚金额最高达80.26亿元,
对个人处罚最严重为刑拘
根据《数据安全法》对处罚的金额进行分析,可以发现金额跨度从几万到几十亿不等,且出现了“类案不同罚”的情况。这说明行政机关虽然是依据法律规定在法定处罚范围内作出处罚决定,但是行政机关在行使自由裁量权时遵循过罚相当原则,在全面衡量案件的综合情况的基础上决定处罚数额。
根据处罚详情进行汇总,有21例处罚为0-10万或未披露处罚金额,占比66%,且都进行了行政处罚“给予警告,并责令限期改正”;已查明造成数据泄露或其他后果的数据安全事件罚款为10万至100万,共6例,占比19%;有1例数据安全事件对社会和国家造成极大危害,对其罚款高达80.26亿,占比3%。
其中,在上海某公司向境外出售高铁数据的事件中,由于上海某公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,且经国家安全机关调查,这家境外公司长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。所以,依据《中华人民共和国数据安全法》、《中华人民共和国刑法》、《中华人民共和国无线电管理条例》等法律法规对上海某公司的销售总监、销售及法定代表人执行逮捕。
从区域来看,处罚案例最多的是华中地区,共14例,占比44%;华东地区共10例,占比31%;华南地区共5例,占比16%;华北、西北及西南地区各1例,占比皆为3%;而东北地区未发生因数据安全导致的处罚事件。
通过以上报告分析可得,目前数据安全在我国仍面临较大的挑战,各企业和个人的数据安全意识不足,造成数据安全保护技术和管理上都有漏洞。同时,外部攻击也越来越组织化、体系化。
分析中还发现,对于不少公开的数据安全泄露事件,并没有公开处理结果。公开的这些案例中,大多数为未落实数据安全保护义务造成,虽未发生严重后果,但也给予了我们足够的警示。各企业或组织需尽快落实数据保护义务,防止重大数据安全事件发生,避免遭受处罚。
附件:处罚案例
|
|
|
|
|
|
|
|
|
|
|
|
|
未按法律法规要求建立健全全流程网络数据安全管理制度;未组织开展网络数据安全教育培训;未采取相应的技术措施和其他必要措施。
|
|
责令限期改正,给予行政警告,并处10万元罚款的行政处罚。
|
|
|
|
|
|
没有依法建立数据安全管理制度和操作规程等数据保护措施;对存储的公民敏感信息数据未采取去标识化和加密保护;公司用于存储公民敏感信息的服务器存在未授权访问的漏洞。
|
|
对涉案公司依法处以行政警告,并处罚款5万元,对公司负责人处罚款1万元。
|
|
|
|
|
|
将建设单位的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施。
|
|
公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。
|
|
|
|
|
|
OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序;发现数据安全漏洞风险和事件时未采取补救措施。
|
《数据安全法》第二十七条、第二十九条、第四十五条。
|
对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。
|
|
|
|
|
|
将新开卡客户敏感信息资料数据文档储存在店内未设置开机屏保密码的互联网电脑桌面上;对该敏感信息资料数据文档未采取单独加设密码等相应的技术保护措施。
|
|
|
|
|
|
|
|
|
《数据安全法》第二十七条、第二十九条、第四十五条。
|
|
|
|
|
|
|
公司相关服务器存在未授权访问漏洞,未落实数据安全保护责任,未开展等级保护备案工作。
|
《数据安全法》第二十七条、第二十九条、第四十五条。
|
|
|
|
|
|
|
医院的医疗管理系统存储着大量患者敏感信息;医院未建立数据安全管理制度;未采取任何的安全防护措施。
|
|
|
|
|
|
|
|
未建立健全全流程数据安全管理制度;未组织开展数据安全培训;公司服务器内存有大量客户敏感数据;未对敏感数据采取相应的技术保护措施。
|
|
|
|
|
|
|
|
|
|
移交隆湖派出所进行处理,对其予以行政警告处罚,责令限期整改。
|
|
|
|
|
|
|
|
对该公司处以行政警告并处罚款20万元的处罚,并责令其对存在问题进行整改。
|
|
|
|
|
|
没有合法资质的情况下,审核交易双方的身份,非法获取债务人的信息,信息未存档。
|
|
