數(shù)據(jù)泄漏問題呈現(xiàn)日益嚴(yán)峻的趨勢(shì)，并且正在給企業(yè)帶來嚴(yán)重的創(chuàng)傷。 Ponemon 《2022 年數(shù)據(jù)泄露成本報(bào)告》顯示，數(shù)據(jù)泄漏成本平均損失高達(dá) 435 萬美元，創(chuàng)下歷史新高，數(shù)據(jù)泄露問題已然成為實(shí)體組織經(jīng)營生產(chǎn)難以逾越的“鴻溝”之一。

為保障數(shù)據(jù)安全，國內(nèi)逐漸相繼推出《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》等法律法規(guī)，明確對(duì)個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的保護(hù)要求，規(guī)定企業(yè)在數(shù)據(jù)處理和存儲(chǔ)方面的責(zé)任和義務(wù)。

面對(duì)嚴(yán)格的法律規(guī)范，仍舊有一部分組織機(jī)構(gòu)“置若罔聞”，違法規(guī)定，從而引發(fā)數(shù)據(jù)泄露事件，甚至部分企業(yè)在明知自身存在安全隱患的情況下，依舊放任漏洞存在，不做任何保護(hù)，致使用戶數(shù)據(jù)處于風(fēng)險(xiǎn)之中。

近日，上海市某科技公司相關(guān)數(shù)據(jù)庫存在未授權(quán)訪問漏洞，部分?jǐn)?shù)據(jù)被竊并傳輸?shù)骄惩?，上海市網(wǎng)信辦將相關(guān)情況通報(bào)涉事企業(yè)并要求立即核查整改，但該科技公司無視數(shù)據(jù)安全保護(hù)責(zé)任，未進(jìn)行及時(shí)有效整改且擅自將涉事數(shù)據(jù)庫一刪了之，意圖逃避處罰。

經(jīng)調(diào)查核實(shí)，該科技公司主要從事為保險(xiǎn)類企業(yè)提供互聯(lián)網(wǎng)通信服務(wù)，在 2022 年 10 月，公司安裝配置了一臺(tái) Elasticsearch 數(shù)據(jù)庫服務(wù)器，用于搜集多個(gè)應(yīng)用系統(tǒng)的業(yè)務(wù)日志，并存儲(chǔ)了包含用戶姓名、身份證號(hào)碼、手機(jī)號(hào)在內(nèi)的大量個(gè)人信息，但該公司未建立健全全流程數(shù)據(jù)安全管理制度，未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，因數(shù)據(jù)庫存在未授權(quán)訪問漏洞，造成部分?jǐn)?shù)據(jù)泄漏被傳輸?shù)骄惩?IP。

同時(shí)，企業(yè)私自刪除涉事數(shù)據(jù)庫逃避責(zé)任、沒有按照規(guī)定及時(shí)向網(wǎng)信部門報(bào)告，未有效履行數(shù)據(jù)安全保護(hù)義務(wù)。針對(duì)以上違法情況，上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條，對(duì)該科技公司作出責(zé)令改正，給予警告，并處人民幣 8 萬元罰款的行政處罰；對(duì)公司直接責(zé)任人員作出罰款人民幣 1 萬元的行政處罰。

類似的案例還有很多，接下來，本文就帶大家盤點(diǎn)一下典型的數(shù)據(jù)泄露處罰案例。

數(shù)十家單位因數(shù)據(jù)安全合規(guī)問題受到處罰

近些年，數(shù)據(jù)安全風(fēng)險(xiǎn)蔓延至政府機(jī)構(gòu)、金融行業(yè)、醫(yī)療機(jī)構(gòu)、教育系統(tǒng)，交通運(yùn)輸?shù)雀鱾€(gè)領(lǐng)域，泄露威脅也已超出個(gè)體和組織的范疇，成為整個(gè)社會(huì)經(jīng)濟(jì)發(fā)展的潛在風(fēng)險(xiǎn)。因此，對(duì)于數(shù)據(jù)安全問題，國家逐步完善立法，擴(kuò)大數(shù)據(jù)保護(hù)“圍城”，加大處罰力度。

南昌某高校因 3 萬余條師生個(gè)人信息數(shù)據(jù)泄露被罰

2023 年 8 月，接到網(wǎng)友舉報(bào)南昌某高校 3 萬余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣的消息后，南昌公安網(wǎng)安機(jī)構(gòu)立刻組織人員展開調(diào)查，最終成功抓獲犯罪嫌疑人 3 名。同時(shí)，公安機(jī)關(guān)對(duì)涉案高校不履行數(shù)據(jù)安全保護(hù)義務(wù)違法行為開展執(zhí)法檢查。

經(jīng)查，涉案高校在開展數(shù)據(jù)處理活動(dòng)中，未建立全流程數(shù)據(jù)安全管理制度，未采取技術(shù)措施以保障數(shù)據(jù)安全，未履行數(shù)據(jù)安全保護(hù)義務(wù)，導(dǎo)致學(xué)校存儲(chǔ)教職工信息、學(xué)生信息、繳費(fèi)信息等 3000 余萬條信息的數(shù)據(jù)庫被黑客非法入侵，其中 3 萬余條教職工、學(xué)生個(gè)人敏感信息數(shù)據(jù)被非法兜售。

最終，南昌公安網(wǎng)安部門根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，對(duì)該學(xué)校作出責(zé)令改正、警告并處 80萬元人民幣 罰款的處罰，對(duì)主要責(zé)任人作出人民幣 5 萬元罰款的處罰。

北海某公司因泄露約 22 萬條民眾數(shù)據(jù)信息被罰

廣西北海公安局接到轄區(qū)內(nèi)某網(wǎng)站存在數(shù)據(jù)泄露問題的線報(bào)，涉案公司建設(shè)有一個(gè)主要提供網(wǎng)上咨詢服務(wù)的網(wǎng)站，收集了個(gè)人和企業(yè)等大量公民信息，但未能按照《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》以及有關(guān)等級(jí)保護(hù)工作的要求落實(shí)網(wǎng)絡(luò)安全保護(hù)主體責(zé)任。

此外，該網(wǎng)站服務(wù)器安全防護(hù)措施不足，存在被多個(gè)境外 IP 攻擊入侵的情況。對(duì)于明顯存在的數(shù)據(jù)安全風(fēng)險(xiǎn)，涉案公司未采取數(shù)據(jù)加密等有效的技術(shù)保護(hù)措施，來確保其儲(chǔ)存的信息安全，導(dǎo)致約 22 萬條個(gè)人信息數(shù)據(jù)被掛在境外論壇售賣。

更為可恨的是，該公司發(fā)現(xiàn)個(gè)人信息泄露后未及時(shí)告知用戶，也未主動(dòng)向公安機(jī)關(guān)報(bào)告，并且還存在網(wǎng)絡(luò)日志留存不足 6 個(gè)月及相關(guān)安全管理制度缺失等問題。

對(duì)此，北海公安機(jī)關(guān)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條的規(guī)定（網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。）對(duì)涉案公司及其直接負(fù)責(zé)人分別作出罰款 20 萬元、3 萬元的行政處罰。

違規(guī)泄露政府?dāng)?shù)據(jù)，一企業(yè)被罰 100 萬

2023 年 3 月，浙江某科技有限公司為浙江某縣級(jí)市政府部門開發(fā)運(yùn)維信息管理系統(tǒng)的過程中，在未經(jīng)建設(shè)單位同意的情況下，將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至自身租用的公有云服務(wù)器上，且未采取安全保護(hù)措施，造成了嚴(yán)重的數(shù)據(jù)泄露。

浙江溫州公安機(jī)關(guān)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，對(duì)公司及項(xiàng)目主管人員、直接責(zé)任人員分別作出罰款 100 萬元、8 萬元、6 萬元的行政處罰。

值得一提是，本案不僅處罰了數(shù)據(jù)泄露引起方，還連累了甲方建設(shè)單位。最終，該單位因失管失察、未履行數(shù)據(jù)安全保護(hù)職責(zé)的情況，當(dāng)?shù)丶o(jì)委監(jiān)委依照《溫州市黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施細(xì)則》規(guī)定，對(duì)建設(shè)單位主要負(fù)責(zé)同志、部門負(fù)責(zé)人等 4 人分別作出批評(píng)教育、誡勉談話和政務(wù)立案調(diào)查等追究問責(zé)決定。

基于數(shù)據(jù)安全的重要性，國內(nèi)不僅對(duì)造成數(shù)據(jù)泄露的主體加大處罰力度，對(duì)于沒有盡到自身數(shù)據(jù)保護(hù)義務(wù)的實(shí)體組織，也加大監(jiān)管力度。

泰州某企業(yè)未履行關(guān)鍵數(shù)據(jù)保護(hù)，被處罰 5 萬元

數(shù)據(jù)合規(guī)問題曾發(fā)生過一起典型案件，江蘇泰州公安網(wǎng)安部門發(fā)現(xiàn)當(dāng)?shù)啬巢粍?dòng)產(chǎn)登記中心的“業(yè)務(wù)練兵系統(tǒng)”存在 Elasticsearch 未授權(quán)訪問安全漏洞，且未建立全流程數(shù)據(jù)安全管理制度，未落實(shí)有效的數(shù)據(jù)安全防護(hù)措施，可致該系統(tǒng)中存儲(chǔ)的 24 萬余條業(yè)務(wù)數(shù)據(jù)泄露，涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。

查獲案件詳情后，泰州公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第 45 條規(guī)定，對(duì)該不動(dòng)產(chǎn)登記中心予以行政警告并責(zé)令改正，對(duì)該系統(tǒng)的建設(shè)運(yùn)維單位北京某科技發(fā)展研究中心予以行政警告并處罰款 5 萬元。

某軟件公司未履行數(shù)據(jù)安全保護(hù)義務(wù)，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患被罰 5 萬元

2023 年 6 月，北京市公安局昌平分局警務(wù)支援大隊(duì)工作發(fā)現(xiàn)北京速跑軟件有限公司研發(fā)的“某數(shù)據(jù)分析系統(tǒng)”存在數(shù)據(jù)泄露隱患。

經(jīng)過仔細(xì)排查，公安部門發(fā)現(xiàn)該公司研發(fā)的“數(shù)據(jù)分析系統(tǒng)”內(nèi)存有用戶敏感數(shù)據(jù)，經(jīng)進(jìn)一步核實(shí)查驗(yàn)，該系統(tǒng)內(nèi)數(shù)據(jù)信息未采用加密措施，系統(tǒng)服務(wù)器未采取任何網(wǎng)絡(luò)防護(hù)措施和技術(shù)防護(hù)措施，造成 19.1 GB個(gè)人敏感信息暴露在互聯(lián)網(wǎng)。

隨著調(diào)查深入，公安機(jī)關(guān)還獲悉該公司未曾制定數(shù)據(jù)安全管理制度、未充分落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。最終，北京市公安局昌平分局根據(jù)《中華人民共和國數(shù)據(jù)安全法》第二十七條、第四十五條第一款的規(guī)定，給予該企業(yè)警告，并處罰款 5 萬元，責(zé)令限期改正。

山東某信息科技有限公司不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)案

2023 年 7 月，濟(jì)南網(wǎng)安在巡查中發(fā)現(xiàn)山東某信息科技有限公司主機(jī)疑似數(shù)據(jù)被竊取。經(jīng)現(xiàn)場(chǎng)取證，該公司涉事主機(jī) 3306 端口開放 Mysql 數(shù)據(jù)庫服務(wù)，存在未授權(quán)訪問漏洞，導(dǎo)致數(shù)據(jù)庫被拖庫，查明該公司存在未采取防范網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，未留存監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的網(wǎng)絡(luò)日志信息等違法情形，致使數(shù)據(jù)庫被拖庫造成數(shù)據(jù)泄露。公安機(jī)關(guān)依法對(duì)該公司及具體運(yùn)維人員予以行政處罰

浙江農(nóng)商聯(lián)合銀行被罰 380 萬

7 月 14 日，國家金融監(jiān)督管理總局發(fā)布的行政處罰信息顯示浙江農(nóng)商聯(lián)合銀行存在 11 項(xiàng)主要違法違規(guī)行為，依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》第四十六條第一項(xiàng)、第三項(xiàng)、第五項(xiàng)；《中華人民共和國商業(yè)銀行法》第七十五條第二項(xiàng)，被銀保監(jiān)會(huì)浙江監(jiān)管局罰款 380 萬。其中很重要的一條就是數(shù)據(jù)安全管理缺失。

株洲某軟件學(xué)校網(wǎng)站致使學(xué)生數(shù)據(jù)存在暴露風(fēng)險(xiǎn)

2023 年  3月，株洲市公安局荷塘分局網(wǎng)安大隊(duì)接株洲市網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào)，株洲某軟件學(xué)校網(wǎng)站存在短文件名泄露漏洞。經(jīng)網(wǎng)安大隊(duì)檢查發(fā)現(xiàn)，該網(wǎng)站系統(tǒng)中存在大量學(xué)生姓名、身份證號(hào)、電話號(hào)碼、家庭住址等敏感信息。

針對(duì)該學(xué)校未對(duì)前述數(shù)據(jù)采取應(yīng)有的技術(shù)保護(hù)措施，未履行數(shù)據(jù)安全保護(hù)義務(wù)，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)的現(xiàn)象。株洲市公安局荷塘分局根據(jù)《數(shù)據(jù)安全法》第 45 條第一款，給予該學(xué)校警告，并責(zé)令限期改正。

湖南長沙某公司存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，被罰 5 萬元

2023 年 2 月，湖南省長沙市公安局岳麓分局網(wǎng)安部門工作發(fā)現(xiàn)轄區(qū)內(nèi)某電商平臺(tái)存在數(shù)據(jù)泄露的隱患，迅速組織專業(yè)技術(shù)人員調(diào)取該公司日志并約談單位相關(guān)責(zé)任人員。經(jīng)查，該企業(yè)服務(wù)器存在未授權(quán)訪問漏洞，用戶隱私數(shù)據(jù)存在泄露風(fēng)險(xiǎn)。

通過進(jìn)一步核實(shí)，該企業(yè)未制定數(shù)據(jù)安全管理制度、未充分落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。最后，長沙市公安局岳麓分局根據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條第一款之規(guī)定，給予該企業(yè)警告，并處罰款 5 萬元，對(duì)直接責(zé)任人處罰款 1 萬元，責(zé)令限期改正。

物業(yè)公司存在信息泄露風(fēng)險(xiǎn)，被責(zé)令限期更改

湖南省永州市東安縣公安局網(wǎng)安部門在查辦一起侵犯公民個(gè)人信息案件時(shí)發(fā)現(xiàn)某小區(qū)業(yè)主信息泄露線索，隨即對(duì)小區(qū)所屬物業(yè)公司發(fā)起“一案雙查”經(jīng)查，該公司使用的人臉識(shí)別系統(tǒng)、車輛管理系統(tǒng)中明文存有 6000 余名業(yè)主姓名、電話、身份證號(hào)、銀行賬戶等敏感數(shù)據(jù)信息。

同時(shí)，人臉識(shí)別系統(tǒng)、車輛管理系統(tǒng)均存在登錄賬號(hào)弱口令，賬號(hào)未設(shè)置權(quán)限管理，存放用戶數(shù)據(jù)的辦公電腦使用向日葵遠(yuǎn)程控制軟件進(jìn)行操作，且未采取任何安全防護(hù)措施，未履行數(shù)據(jù)安全保護(hù)義務(wù)。永州東安縣公安局依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條第一款之規(guī)定，給予該公司警告，并責(zé)令限期改正。

國內(nèi)數(shù)據(jù)合規(guī)趨嚴(yán)，企業(yè)數(shù)據(jù)監(jiān)管壓力增長

從上述案例不難看出，數(shù)據(jù)泄露問題已經(jīng)滲透到政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施、金融業(yè)、農(nóng)業(yè)、工業(yè)、教育機(jī)構(gòu)、醫(yī)療等社會(huì)各個(gè)行業(yè)。令人擔(dān)憂的是，根據(jù)相關(guān)機(jī)構(gòu)發(fā)布的數(shù)泄露研究報(bào)告顯示，近一半的數(shù)據(jù)泄露事件會(huì)發(fā)生二次泄露，造成直接和潛在的損失達(dá)到萬億美元級(jí)，并威脅到數(shù)十億人的數(shù)據(jù)信息安全。

認(rèn)識(shí)到數(shù)據(jù)是國家重要資產(chǎn)和戰(zhàn)略資源，數(shù)據(jù)安全就是國家安全這一共識(shí)后，國內(nèi)相關(guān)機(jī)構(gòu)為防范數(shù)據(jù)泄露和濫用，逐步加強(qiáng)對(duì)數(shù)據(jù)傳輸?shù)谋O(jiān)管、限制敏感數(shù)據(jù)的出境、要求重點(diǎn)數(shù)據(jù)存儲(chǔ)在國內(nèi)，對(duì)于涉及國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施和核心技術(shù)的數(shù)據(jù)安全，開始進(jìn)行更加嚴(yán)格、全面的安全審查。

再加上相繼推出的《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》等“上位法”中都明確對(duì)個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的保護(hù)要求，規(guī)定了企業(yè)在數(shù)據(jù)處理和存儲(chǔ)方面的責(zé)任和義務(wù)。

這些法律法規(guī)在宣傳和強(qiáng)調(diào)數(shù)據(jù)安全重要性的同時(shí)，同樣也在督促社會(huì)機(jī)構(gòu)建立其健全的數(shù)據(jù)安全管理制度和技術(shù)保障措施。簡(jiǎn)單來說，基于目前數(shù)據(jù)合規(guī)法律法規(guī)框架的要求，組織需要制定合規(guī)的個(gè)人信息保護(hù)政策和措施，確保用戶數(shù)據(jù)的安全和隱私安全。

與此同時(shí)，對(duì)內(nèi)還需對(duì)員工（這一點(diǎn)尤為重要，許多數(shù)據(jù)泄漏的主要原因就是內(nèi)部員工數(shù)據(jù)保護(hù)意識(shí)淡薄）、合作伙伴等內(nèi)部人員的數(shù)據(jù)進(jìn)行合理管理和保護(hù)，建立健全的安全漏洞管理和事件應(yīng)對(duì)機(jī)制，及時(shí)發(fā)現(xiàn)和修復(fù)內(nèi)部的安全漏洞，有效應(yīng)對(duì)數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全事件，防止數(shù)據(jù)被惡意利用或泄露。

對(duì)于涉及跨境數(shù)據(jù)傳輸?shù)膶?shí)體組織，以及涉及關(guān)鍵領(lǐng)域的企業(yè)需要經(jīng)過國家安全審查，確保其數(shù)據(jù)處理和存儲(chǔ)不會(huì)對(duì)國家安全造成風(fēng)險(xiǎn)，這要求其加強(qiáng)內(nèi)部安全管理，遵守相關(guān)規(guī)定，轉(zhuǎn)變數(shù)據(jù)使用思維，從“一味利用數(shù)據(jù)”，轉(zhuǎn)變到“合理善用數(shù)據(jù)”，積極配合國家對(duì)于數(shù)據(jù)安全保護(hù)的整體方針。

總體而言，在國內(nèi)數(shù)據(jù)安全監(jiān)管趨勢(shì)越來越嚴(yán)格，數(shù)據(jù)處理不當(dāng)處罰越來越重的整體環(huán)境下，實(shí)體組織要做好數(shù)據(jù)安全管理，確保數(shù)據(jù)的合法、安全和穩(wěn)定運(yùn)營，牢記一旦違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)、安全和發(fā)展利益的，輕則根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，構(gòu)成犯罪的，依法追究刑事責(zé)任。