數據泄漏問題呈現日益嚴峻的趨勢,并且正在給企業帶來嚴重的創傷。 Ponemon 《2022 年數據泄露成本報告》顯示,數據泄漏成本平均損失高達 435 萬美元,創下歷史新高,數據泄露問題已然成為實體組織經營生產難以逾越的“鴻溝”之一。
為保障數據安全,國內逐漸相繼推出《中華人民共和國網絡安全法》、《中華人民共和國個人信息保護法》、《數據安全法》等法律法規,明確對個人數據和重要數據的保護要求,規定企業在數據處理和存儲方面的責任和義務。
面對嚴格的法律規范,仍舊有一部分組織機構“置若罔聞”,違法規定,從而引發數據泄露事件,甚至部分企業在明知自身存在安全隱患的情況下,依舊放任漏洞存在,不做任何保護,致使用戶數據處于風險之中。
近日,上海市某科技公司相關數據庫存在未授權訪問漏洞,部分數據被竊并傳輸到境外,上海市網信辦將相關情況通報涉事企業并要求立即核查整改,但該科技公司無視數據安全保護責任,未進行及時有效整改且擅自將涉事數據庫一刪了之,意圖逃避處罰。
經調查核實,該科技公司主要從事為保險類企業提供互聯網通信服務,在 2022 年 10 月,公司安裝配置了一臺 Elasticsearch 數據庫服務器,用于搜集多個應用系統的業務日志,并存儲了包含用戶姓名、身份證號碼、手機號在內的大量個人信息,但該公司未建立健全全流程數據安全管理制度,未采取相應的技術措施和其他必要措施保障數據安全,因數據庫存在未授權訪問漏洞,造成部分數據泄漏被傳輸到境外 IP。
同時,企業私自刪除涉事數據庫逃避責任、沒有按照規定及時向網信部門報告,未有效履行數據安全保護義務。針對以上違法情況,上海市網信辦依據《數據安全法》第二十七條、第四十五條,對該科技公司作出責令改正,給予警告,并處人民幣 8 萬元罰款的行政處罰;對公司直接責任人員作出罰款人民幣 1 萬元的行政處罰。
類似的案例還有很多,接下來,本文就帶大家盤點一下典型的數據泄露處罰案例。
數十家單位因數據安全合規問題受到處罰
近些年,數據安全風險蔓延至政府機構、金融行業、醫療機構、教育系統,交通運輸等各個領域,泄露威脅也已超出個體和組織的范疇,成為整個社會經濟發展的潛在風險。因此,對于數據安全問題,國家逐步完善立法,擴大數據保護“圍城”,加大處罰力度。
南昌某高校因 3 萬余條師生個人信息數據泄露被罰
2023 年 8 月,接到網友舉報南昌某高校 3 萬余條師生個人信息數據在境外互聯網上被公開售賣的消息后,南昌公安網安機構立刻組織人員展開調查,最終成功抓獲犯罪嫌疑人 3 名。同時,公安機關對涉案高校不履行數據安全保護義務違法行為開展執法檢查。
經查,涉案高校在開展數據處理活動中,未建立全流程數據安全管理制度,未采取技術措施以保障數據安全,未履行數據安全保護義務,導致學校存儲教職工信息、學生信息、繳費信息等 3000 余萬條信息的數據庫被黑客非法入侵,其中 3 萬余條教職工、學生個人敏感信息數據被非法兜售。
最終,南昌公安網安部門根據《數據安全法》第四十五條的規定,對該學校作出責令改正、警告并處 80萬元人民幣 罰款的處罰,對主要責任人作出人民幣 5 萬元罰款的處罰。
北海某公司因泄露約 22 萬條民眾數據信息被罰
廣西北海公安局接到轄區內某網站存在數據泄露問題的線報,涉案公司建設有一個主要提供網上咨詢服務的網站,收集了個人和企業等大量公民信息,但未能按照《中華人民共和國數據安全法》《中華人民共和國網絡安全法》以及有關等級保護工作的要求落實網絡安全保護主體責任。
此外,該網站服務器安全防護措施不足,存在被多個境外 IP 攻擊入侵的情況。對于明顯存在的數據安全風險,涉案公司未采取數據加密等有效的技術保護措施,來確保其儲存的信息安全,導致約 22 萬條個人信息數據被掛在境外論壇售賣。
更為可恨的是,該公司發現個人信息泄露后未及時告知用戶,也未主動向公安機關報告,并且還存在網絡日志留存不足 6 個月及相關安全管理制度缺失等問題。
對此,北海公安機關根據《中華人民共和國網絡安全法》第四十二條的規定(網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。)對涉案公司及其直接負責人分別作出罰款 20 萬元、3 萬元的行政處罰。
違規泄露政府數據,一企業被罰 100 萬
2023 年 3 月,浙江某科技有限公司為浙江某縣級市政府部門開發運維信息管理系統的過程中,在未經建設單位同意的情況下,將建設單位采集的敏感業務數據擅自上傳至自身租用的公有云服務器上,且未采取安全保護措施,造成了嚴重的數據泄露。
浙江溫州公安機關根據《數據安全法》第四十五條的規定,對公司及項目主管人員、直接責任人員分別作出罰款 100 萬元、8 萬元、6 萬元的行政處罰。
值得一提是,本案不僅處罰了數據泄露引起方,還連累了甲方建設單位。最終,該單位因失管失察、未履行數據安全保護職責的情況,當地紀委監委依照《溫州市黨委(黨組)網絡安全工作責任制實施細則》規定,對建設單位主要負責同志、部門負責人等 4 人分別作出批評教育、誡勉談話和政務立案調查等追究問責決定。
基于數據安全的重要性,國內不僅對造成數據泄露的主體加大處罰力度,對于沒有盡到自身數據保護義務的實體組織,也加大監管力度。
泰州某企業未履行關鍵數據保護,被處罰 5 萬元
數據合規問題曾發生過一起典型案件,江蘇泰州公安網安部門發現當地某不動產登記中心的“業務練兵系統”存在 Elasticsearch 未授權訪問安全漏洞,且未建立全流程數據安全管理制度,未落實有效的數據安全防護措施,可致該系統中存儲的 24 萬余條業務數據泄露,涉嫌未履行數據安全保護義務。
查獲案件詳情后,泰州公安機關依據《數據安全法》第 45 條規定,對該不動產登記中心予以行政警告并責令改正,對該系統的建設運維單位北京某科技發展研究中心予以行政警告并處罰款 5 萬元。
某軟件公司未履行數據安全保護義務,存在數據泄露風險隱患被罰 5 萬元
2023 年 6 月,北京市公安局昌平分局警務支援大隊工作發現北京速跑軟件有限公司研發的“某數據分析系統”存在數據泄露隱患。
經過仔細排查,公安部門發現該公司研發的“數據分析系統”內存有用戶敏感數據,經進一步核實查驗,該系統內數據信息未采用加密措施,系統服務器未采取任何網絡防護措施和技術防護措施,造成 19.1 GB個人敏感信息暴露在互聯網。
隨著調查深入,公安機關還獲悉該公司未曾制定數據安全管理制度、未充分落實網絡安全等級保護制度。最終,北京市公安局昌平分局根據《中華人民共和國數據安全法》第二十七條、第四十五條第一款的規定,給予該企業警告,并處罰款 5 萬元,責令限期改正。
山東某信息科技有限公司不履行網絡安全保護義務案
2023 年 7 月,濟南網安在巡查中發現山東某信息科技有限公司主機疑似數據被竊取。經現場取證,該公司涉事主機 3306 端口開放 Mysql 數據庫服務,存在未授權訪問漏洞,導致數據庫被拖庫,查明該公司存在未采取防范網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,未留存監測、記錄網絡運行狀態的網絡日志信息等違法情形,致使數據庫被拖庫造成數據泄露。公安機關依法對該公司及具體運維人員予以行政處罰
浙江農商聯合銀行被罰 380 萬
7 月 14 日,國家金融監督管理總局發布的行政處罰信息顯示浙江農商聯合銀行存在 11 項主要違法違規行為,依據《中華人民共和國銀行業監督管理法》第四十六條第一項、第三項、第五項;《中華人民共和國商業銀行法》第七十五條第二項,被銀保監會浙江監管局罰款 380 萬。其中很重要的一條就是數據安全管理缺失。
株洲某軟件學校網站致使學生數據存在暴露風險
2023 年 3月,株洲市公安局荷塘分局網安大隊接株洲市網絡與信息安全信息通報中心通報,株洲某軟件學校網站存在短文件名泄露漏洞。經網安大隊檢查發現,該網站系統中存在大量學生姓名、身份證號、電話號碼、家庭住址等敏感信息。
針對該學校未對前述數據采取應有的技術保護措施,未履行數據安全保護義務,存在數據泄露風險的現象。株洲市公安局荷塘分局根據《數據安全法》第 45 條第一款,給予該學校警告,并責令限期改正。
湖南長沙某公司存在數據泄露風險,被罰 5 萬元
2023 年 2 月,湖南省長沙市公安局岳麓分局網安部門工作發現轄區內某電商平臺存在數據泄露的隱患,迅速組織專業技術人員調取該公司日志并約談單位相關責任人員。經查,該企業服務器存在未授權訪問漏洞,用戶隱私數據存在泄露風險。
通過進一步核實,該企業未制定數據安全管理制度、未充分落實網絡安全等級保護制度。最后,長沙市公安局岳麓分局根據《數據安全法》第二十七條、第四十五條第一款之規定,給予該企業警告,并處罰款 5 萬元,對直接責任人處罰款 1 萬元,責令限期改正。
物業公司存在信息泄露風險,被責令限期更改
湖南省永州市東安縣公安局網安部門在查辦一起侵犯公民個人信息案件時發現某小區業主信息泄露線索,隨即對小區所屬物業公司發起“一案雙查”經查,該公司使用的人臉識別系統、車輛管理系統中明文存有 6000 余名業主姓名、電話、身份證號、銀行賬戶等敏感數據信息。
同時,人臉識別系統、車輛管理系統均存在登錄賬號弱口令,賬號未設置權限管理,存放用戶數據的辦公電腦使用向日葵遠程控制軟件進行操作,且未采取任何安全防護措施,未履行數據安全保護義務。永州東安縣公安局依據《數據安全法》第二十七條、第四十五條第一款之規定,給予該公司警告,并責令限期改正。
國內數據合規趨嚴,企業數據監管壓力增長
從上述案例不難看出,數據泄露問題已經滲透到政府機構、關鍵基礎設施、金融業、農業、工業、教育機構、醫療等社會各個行業。令人擔憂的是,根據相關機構發布的數泄露研究報告顯示,近一半的數據泄露事件會發生二次泄露,造成直接和潛在的損失達到萬億美元級,并威脅到數十億人的數據信息安全。
認識到數據是國家重要資產和戰略資源,數據安全就是國家安全這一共識后,國內相關機構為防范數據泄露和濫用,逐步加強對數據傳輸的監管、限制敏感數據的出境、要求重點數據存儲在國內,對于涉及國家安全的關鍵信息基礎設施和核心技術的數據安全,開始進行更加嚴格、全面的安全審查。
再加上相繼推出的《中華人民共和國網絡安全法》、《中華人民共和國個人信息保護法》、《數據安全法》等“上位法”中都明確對個人數據和重要數據的保護要求,規定了企業在數據處理和存儲方面的責任和義務。
這些法律法規在宣傳和強調數據安全重要性的同時,同樣也在督促社會機構建立其健全的數據安全管理制度和技術保障措施。簡單來說,基于目前數據合規法律法規框架的要求,組織需要制定合規的個人信息保護政策和措施,確保用戶數據的安全和隱私安全。
與此同時,對內還需對員工(這一點尤為重要,許多數據泄漏的主要原因就是內部員工數據保護意識淡薄)、合作伙伴等內部人員的數據進行合理管理和保護,建立健全的安全漏洞管理和事件應對機制,及時發現和修復內部的安全漏洞,有效應對數據泄露、網絡攻擊等安全事件,防止數據被惡意利用或泄露。
對于涉及跨境數據傳輸的實體組織,以及涉及關鍵領域的企業需要經過國家安全審查,確保其數據處理和存儲不會對國家安全造成風險,這要求其加強內部安全管理,遵守相關規定,轉變數據使用思維,從“一味利用數據”,轉變到“合理善用數據”,積極配合國家對于數據安全保護的整體方針。
總體而言,在國內數據安全監管趨勢越來越嚴格,數據處理不當處罰越來越重的整體環境下,實體組織要做好數據安全管理,確保數據的合法、安全和穩定運營,牢記一旦違反國家核心數據管理制度,危害國家主權、安全和發展利益的,輕則根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,構成犯罪的,依法追究刑事責任。
