安全419盘点 | 2023年全国数据泄露大事记及执法观察
2023年,数字化转型在各行各业持续深入,因系统漏洞、外部攻击、内部威胁、主体责任缺失等造成的各类数据泄露事件频发。数据要素价值红利凸显,个人信息、敏感资产等数据泄露的影响严重而深远,数据安全逐步进入法治化的强监管时代。
安全419对2023年国内的数据泄露事件、监管、执法进行总结回顾,再次重申数据安全的重要性与必要性,这不仅是数据处理者保证合规所必须履行的义务,更与业务发展、企业利益及声誉、社会稳定乃至国家安全息息相关。
2023年数据安全及个人信息保护监管变化
网安法、数安法、个保法作为安全领域顶层设计的“三驾马车”,对数据安全及个人信息保护提出了明确的合规纲领。观察2023年的监管实际,安全419发现,监管朝着标准化、程序化和科学化方向发展的趋势不断清晰明确。
6月1日起实施的《网信部门行政执法程序规定》,作为数安法规定的统筹行政部门执法程序的规范,进一步规范和保障网信部门依法履行职责。细化到工信领域,《工业和信息化行政处罚程序规定》在9月1日实施,为开展数据安全执法活动提供了规范化的监管尺度。
此外,年初发布的《工业和信息化部行政执法事项清单(2022年版)》涉及数据安全领域15项、个人信息保护领域4项,总计数十项行政处罚和行政检查。年末依此制定了《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》,进一步细化行政处罚措施的裁量情形和适用规则。
近日,《网络安全事件报告管理办法(征求意见稿)》出台,明确重要数据泄露或被窃取,对国家安全和社会稳定构成特别严重威胁/严重威胁,或泄露1亿人/1000万人以上个人信息的可判别为“特别重大网络安全事件”/“重大网络安全事件”,应当于1小时内进行报告。
总结来看,数据安全监管已成常态化并且监管职责体系日渐完整,过去一些空白和模糊的地带在逐渐被填补。
在实体上,基本原则始终围绕统筹发展与安全,通过健全完善事前的评估、审查机制和事后的报告、响应流程,尽力避免数据泄露事件发生的可能性,同时将数据泄露影响维持在可控范围内。
在程序上,对于故意/无意侵犯数据所有者主权、利益和未履行数据保障义务的主体,依据明确的裁量基准,采取惩戒相当的梯级处罚手段加强监督管理。
2023年全国数据安全及个人信息泄露大事记
经安全419不完全统计,选取以下2023年度公开被报道、公开可查询的,较为典型的,涉数据泄露相关的安全事件和处罚案例。我们可以从中立体地感受到数据泄露态势的严峻,以及监管判例的程序和力度。
12月,北京市人民检察院发布北京市检察机关维护网络安全典型案例,安全419选取其中两例涉数据安全案例。
通过“删库”破坏公司财务系统
某科技公司数据库管理员因工作原因对公司心生不满,利用权限便利将系统内的财务数据及相关应用程序删除,作案后将相关数据痕迹删除。公司为恢复上述数据及重新构建系统花费人民币18万元。一审判决该员工犯破坏计算机信息系统罪,判处有期徒刑七年。被告上诉被驳回并维持原判。
通过“暗网交易”非法买卖公民个人信息
李某某通过“暗网”购买、出售涉大学生、银行客户、保险客户、网购用户等特定群体的公民个人信息900余万条,涉及全国二十余个省市。法院判决李某某犯侵犯公民个人信息罪,被判处有期徒刑三年,并处罚金人民币11万元,同时判处李某某在国家级媒体向社会公众公开赔礼道歉,删除其非法持有的公民个人信息数据,支付赔偿金人民币10万余元。
12月,重庆渝中区一科技公司开发运营的某OA系统因未履行好网络数据安全保护义务,导致大量数据泄露,情节严重。网信办依法对该公司作出责令限期五日改正,给予行政警告并处10万元罚款的行政处罚。
12月,北京一互联网公司遭黑客撞库攻击,求职招聘类app的短信验证码接口遭受攻击达1300余万次。同时该团伙还长期使用类似方式对其他各大网站进行渗透并伺机查找网站漏洞,以此为诱饵向他人兜售自己编写的恶意程序,长期在境外网站盗卖由撞库非法获取的大量公民个人信息及公司账号数据。最终犯罪团伙被全部抓获,现场起获各类公司、人员数据330余万条。
11月,温州某大药房数据分析师利用工作便利将大量交易数据导出并在暗网售卖。温州网安侦查发现,该大药房未建立健全全流程数据安全管理制度,未组织开展数据安全教育培训,未采取相应的技术措施和其他必要措施保障数据安全。该员工涉嫌侵犯公民个人信息罪被刑事拘留,案件在进一步办理中。该大药房被处罚款110万元,直接负责的主管人员被处罚款10万元。
11月,济南多名新生儿父母接到“上门摄影”电话推销。经查,推销公司法人曾联系两位好友,二人利用职务之便潜入单位系统,查询获取到部分孕妇和新生儿信息,并以每条5元出售,共查获纸质版新生儿信息2000余条,电子版6万余条。专案组梳理其他曾为该公司提供各类公民个人信息的多家家政、月嫂、孕教等上线机构,又先后抓获犯罪嫌疑人9名。后对该系统主管单位处以行政警告并责令整改,对其开发运维企业处以行政警告、罚款5万元并责令整改,对企业驻点的直接责任人崔某健处以行政警告、罚款1万元。
11月,国内某家能源集团的相关数据在暗网上被黑客以50比特币的价格拍卖。从黑客发布的样本截图来看,此次泄露的数据中涵盖了财务数据、设计图纸、职工信息等,非常敏感的信息。
11月,大江生医集团被曝大量数据遭到泄露,主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等),总大小 236.3 GB,包含 104,001 个文件。
10月,据国家安全部消息,今年以来,国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理,调查境外气象设备代理商10余家,检查涉外气象站点3000余个,发现数百个非法涉外气象探测站点实时向境外传输气象数据,广泛分布在全国20多个省份,对国家安全造成风险隐患。
10月,福建厦门一培训机构系统被“黑客”非法侵入,近2万条个人信息泄露,其学员更遭遇精准诈骗。警方依网安法对该教培机构处以罚款1万元,对直接负责的主管人员处以罚款5000元的行政处罚。
10月,北京市网信办依据数安法对属地三家企业未履行数据安全保护义务作出行政处罚。经查实,三家企业部署的ElasticSearch数据库存在未授权访问漏洞,造成部分数据泄露。网信办对三家企业分别作出责令改正,给予警告,并处5万元罚款的行政处罚,对直接主管人员和其他责任人员处以1万元罚款处罚。
以上为2023年第四季度典型数据泄露事件一览,请点击查阅:
2023年数据安全相关执法统计数据一览
另外,安全419还梳理了2023年各地执法部门通报的数据安全执法阶段性成果或报告,从数据层面反映出:
数据泄露是众多系统漏洞、攻击活动、误操作、未履行合规义务而导致的直接结果;涉案的数据类型和侵权形态较为多样,公民个人信息权益保护、敏感数据资产保护仍面临严峻挑战;监管持续补位,专项行动、一案双查等措施贯彻实施;公民维权意识显著加强,相关诉讼案件增多。
11月,北京高院发布《侵犯公民个人信息犯罪审判白皮书》,对近5年来全市法院审结的侵犯公民个人信息罪案件进行分析。
自2018年以来,审结侵犯公民个人信息罪一、二审案件共计229件,2023年案件数量反弹呈多发态势。
刑罚程度整体较轻。自2018年,被判处五年以下有期徒刑的被告人占比约为98.7%,重刑率较低;缓刑适用率在14.6%左右。被判处罚金在10万元以下的被告人占比约83.2%。
涉案公民个人信息类型中有关人身、财产安全的信息占比突出;涉案信息要素中手机号码、身份证件占比最大;涉案公民个人信息的数量规模日渐庞大;五成案件的被告人有较为固定的工作单位或职业。
11月,公安部通报全国公安机关持续开展“净网”系列专项行动,全力打击黑客类违法犯罪举措及总体成效情况。2022年以来,全国公安机关共侦破黑客类犯罪案件2430起、抓获犯罪嫌疑人7092名。2023年第三季度,公安机关共办理网络和数据安全行政案件1.4万起,其中,网络运营者不履行网络安全保护义务的案件占86%。
11月,2023年三季度金融业监管数据处罚分析公布。人民银行第三季度共开出85张数据罚单,罚款金额为48.2亿元;金融监管总局第三季度共开出340张数据罚单,罚款金额 28.7亿元。人民银行和金融监管总局数据罚单的处罚事由中,数据合规罚单数量增速最高,数据使用、数据收集和数据查询是数据合规检查重点。
11月,北京互联网法院通报个人信息保护案件审理情况,自2018年,共受理58件涉及个人信息保护的案件,以互联网企业为主要被诉主体。
涉诉信息类型丰富,既包括法律法规列明的手机号、身份证号、行踪信息等,也包含大量法律未明确列举的信息,如视频浏览记录、职业信息、交易信息、位置信息等,还包括敏感个人信息,如人脸信息。
引发个人信息纠纷的场景涉及众多数字经济领域,例如,金融企业信息泄露引发电信诈骗风险,在线教育APP强制收集个人信息用于用户画像,电商平台频繁拨打用户电话等。另外有企业将用户信息制作成数据包,开发数据产品向他人提供,引发侵权风险。
有企业存在线下收集、线上处理、线下线上多主体混合处理、关联企业共同处理等行为,反映出涉诉个人信息处理活动呈现多主体多形态交融的态势。一系列新类型个人信息纠纷进入诉讼,如死者个人信息处理、提供查阅复制信息等。
西 西
安全419编辑部
关注网络安全行业的一切新鲜事物。
END
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送