数据安全法实施近两年来的处罚案例分析
1 前言
随着数字经济成为世界经济发展的新动力,推动数据量的高速增长,数据安全风险也在同步激增。同时传统的犯罪类型也借助新型技术不断形成新的变种,在侵犯数据权益的同时,对社会公共利益乃至国家安全也造成严重威胁。同时,随着《中华人民共和国数据安全法》(下文简称为《数据安全法》)的生效,不仅极大地保护了国家、社会和公民的数据安全,也表明了国家治理数据安全的决心。本文基于数安法实施近两年来,被公开作出行政处罚的典型案例32起,从不同维度对案例进行了分析总结。
2 数据安全处罚事件逐年升高,2023年呈爆发式增长
通过对近两年数据安全事件发生的时间进行汇总,2021年共发生5起,2022年共发生6起,2023年到目前为止已发生21起。相比前两年,2023年呈爆发式增长。并且2023年每个月都有处罚案例,在3月和4月分别达到5起和8起。说明随着《数据安全法》实施和相关配套体系的完善,相关部门正加大执法力度和频度。
3 互联网行业是发生数据安全 处罚事件的重灾区
从行业分布来看数据安全处罚事件涉及互联网、医疗、金融等行业,其中互联网行业作为重灾区发生了10起数据安全处罚事件,占比32%。其中某些处罚是多对家单位的合并处罚,共包含了上百家运营主体。
4 未建立相应技术措施和管理制度为主要原因
通过对所有数据安全处罚事件进行归因分析,发现未对数据采取相应的技术保护措施和管理制度的占比为66%。原因是大多数企业或组织对于数据安全的认知和重视性不足,投入较少,存在侥幸心理。
5 涉及问题分类
可将所有违法行为和其对应的问题进总结归类为四类问题。
违法行为简述 | 对应问题 |
未对敏感数据采取去标识化和加密措施等技术保护措施,导致数据泄露或存在数据泄露风险。 | 数据安全保护技术 |
对已有漏洞不修复不管理,已经遭受攻击或被植入暗链、木马等。 | 数据安全漏洞扫描 和修复 |
发生数据安全事件后不处置。 | 数据安全应急处置 |
数据处理者未遵守数据交易安全的规定, 擅自向境外提供重要数据。 | 数据交易安全 |
其中数据保护义务的问题多达28起,数据安全应急处置问题以及数据风险评估和监测的问题分别有3起,数据交易的安全问题2起。
6 违反法规
通过对所有数据安全法处罚案例的总结,违反的法规条目主要有《数据安全法》第二十七条、二十九条、三十一条、三十二条、三十三条、三十五条、四十条。
违反法规 | 法规内容 | 案例 数量 |
《数据安全法》第二十七条 | 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 | 23起 |
《数据安全法》第二十九条 | 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 | 3起 |
《数据安全法》第三十一条 | 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 | 2起 |
《数据安全法》第三十二条 | 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。 | 3起 |
《数据安全法》第三十三条 | 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 | 1起 |
《数据安全法》第三十五条 | 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。 | 1起 |
《数据安全法》第四十条 | 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。 | 1起 |
将上述表格可视化展示如下:
7 处罚依据
通过对所有数据安全法处罚案例的总结,处罚的法规条目主要有《数据安全法》第四十五条、四十六条、四十七条、四十九条。
处罚依据 | 法规内容 | 案例数量 |
《数据安全法》第四十五条 | 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 | 23起 |
《数据安全法》第四十六条 | 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 | 2起 |
《数据安全法》第四十七条 | 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | 1起 |
《数据安全法》第四十九条 | 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。 | 6起 |
8 对企业处罚金额最高达80.26亿元,对个人处罚最严重为刑拘
根据《数据安全法》对处罚的金额进行分析,可以发现金额跨度从几万到几十亿不等,且出现了“类案不同罚”的情况。这说明行政机关虽然是依据法律规定在法定处罚范围内作出处罚决定,但是行政机关在行使自由裁量权时遵循过罚相当原则,在全面衡量案件的综合情况的基础上决定处罚数额。
9 处罚案例多发生在华中地区
从区域来看,处罚案例最多的是华中地区,共14例,占比44%;华东地区共10例,占比31%;华南地区共5例,占比16%;华北、西北及西南地区各1例,占比皆为3%;而东北地区未发生因数据安全导致的处罚事件。
10 总结
通过以上报告分析可得,目前数据安全在我国仍面临较大的挑战,各企业和个人的数据安全意识不足,造成数据安全保护技术和管理上都有漏洞。同时,外部攻击也越来越组织化、体系化。分析中还发现,对于不少公开的数据安全泄露事件,并没有公开处理结果。公开的这些案例中,大多数为未落实数据安全保护义务造成,虽未发生严重后果,但也给予了我们足够的警示。各企业或组织需尽快落实数据保护义务,防止重大数据安全事件发生,避免遭受处罚。附件:处罚案例列表
编号 | 被罚主体 | 违法时间 | 处罚时间 | 违法行为 简述 | 处罚 依据 | 处罚 结果 |
1 | 重庆某科技公司 | 2023年7月31日前 | 2023年7月31日 | 未按法律法规要求建立健全全流程网络数据安全管理制度;未组织开展网络数据安全教育培训;未采取相应的技术措施和其他必要措施。 | 《数据安全法》第二十七条、第四十五条。 | 责令限期改正,给予行政警告,并处10万元罚款的行政处罚。 |
2 | 中山市三乡县某科技公司 | 2023年7月6日前 | 2023年7月6日 | 没有依法建立数据安全管理制度和操作规程等数据保护措施;对存储的公民敏感信息数据未采取去标识化和加密保护;公司用于存储公民敏感信息的服务器存在未授权访问的漏洞。 | 《数据安全法》第二十七条、第四十五条。 | 对涉案公司依法处以行政警告,并处罚款5万元,对公司负责人处罚款1万元。 |
3 | 浙江某科技有限公司 | 2023年3月 | 2023年6月16日 | 将建设单位的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施。 | 《数据安全法》第二十七条、第四十条、第四十五条。 | 公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。 |
4 | 江西某股份有限公司 | 2023年4月13日前 | 2023年5月30日 | OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序;发现数据安全漏洞风险和事件时未采取补救措施。 | 《数据安全法》第二十七条、第二十九条、第四十五条。 | 对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。 |
5 | 溆浦县某手机店 | 2023年1月-2023年5月 | 2023年5月30日 | 将新开卡客户敏感信息资料数据文档储存在店内未设置开机屏保密码的互联网电脑桌面上;对该敏感信息资料数据文档未采取单独加设密码等相应的技术保护措施。 | 《数据安全法》第二十七条、第四十五条。 | 予以行政处罚。 |
6 | 株洲某医院 | 2023年4月21日前 | 2023年4月21日 | 医院网站存在跨站脚本漏洞。 | 《数据安全法》第二十七条、第二十九条、第四十五条。 | 给予该医院警告,并责令限期改正。 |
7 | 赣州全南县某公司 | 2023年4月21日前 | 2023年4月21日 | 公司相关服务器存在未授权访问漏洞,未落实数据安全保护责任,未开展等级保护备案工作。 | 《数据安全法》第二十七条、第二十九条、第四十五条。 | 行政警告处罚,并责令限期整改。 |
8 | 茶陵县某医院 | 2023年4月20日前 | 2023年4月20日 | 医院的医疗管理系统存储着大量患者敏感信息;医院未建立数据安全管理制度;未采取任何的安全防护措施。 | 《数据安全法》第二十七条、第四十五条。 | 给予该医院警告,并责令限期改正。 |
9 | 麻阳苗族自治县某商贸公司 | 2023年4月19日前 | 2023年4月19日 | 未建立健全全流程数据安全管理制度;未组织开展数据安全培训;公司服务器内存有大量客户敏感数据;未对敏感数据采取相应的技术保护措施。 | 《数据安全法》第二十七条、第四十五条。 | 予以行政处罚。 |
10 | 大武口区隆湖某通讯店 | 2023年4月13日前 | 2023年4月13日 | 办理手机卡提供给境外犯罪分子用于电信网络诈骗。 | 《数据安全法》第二十七条、第四十五条。 | 移交隆湖派出所进行处理,对其予以行政警告处罚,责令限期整改。 |
11 | 新安县经济技术开发区某平台开发公司 | 2023年4月3日 | 2023年4月7日 | 平台上线运行后未关闭免登录访问漏洞。 | 《数据安全法》第二十七条、第四十五条。 | 对该公司处以行政警告并处罚款20万元的处罚,并责令其对存在问题进行整改。 |
12 | 绥宁县一催收公司 | 2023年4月4日前 | 2023年4月4日 | 没有合法资质的情况下,审核交易双方的身份,非法获取债务人的信息,信息未存档。 | 《数据安全法》第三十三条、第四十七条。 | 对XX达通仁信息技术咨询有限公司和其法人代表张X予以行政处罚。 |
13 | 郴州市某单位 | 2023年4月前 | 2023年4月 | 未制定保障数据安全制度,未分级分类,未开展年度常态化技术检测。 | 《数据安全法》第二十七条、第四十五条。 | 行政处罚。 |
14 | 邵东市内两家单位 | 2023年3月13日前 | 2023年3月18日 | 没有制定数据安全管理制度和操作规程,没有采取任何防篡改、防泄漏、防侵入等技术措施。 | 《数据安全法》第二十七条、第四十五条。 | 对单位负责人进行约谈,对单位依法予以行政警告处罚,要求切实履行主体责任,及时清理处置网络安全隐患。 |
15 | 株洲某医院 | 2023年3月11日前 | 2023年3月11日 | 医院网站被篡改植入暗链;医院管理平台日志系统中存储大量客户敏感数据;医院未对前述数据采取应有的技术保护措施。 | 《数据安全法》第二十七条、第四十五条。 | 给予该医院警告,并责令限期改正。 |
16 | 株洲某软件学校 | 2023年3月10日前 | 2023年3月10日 | 学校网站存在短文件名泄露漏洞;网站系统中存在大量学生敏感信息;未对数据采取应有的技术保护措施。 | 《数据安全法》第二十七条、第四十五条。 | 给予该学校警告,并责令限期改正。 |
17 | 湖南省永州市某小区物业公司 | 2023年3月前 | 2023年3月 | 车辆管理系统中明文存有大量用户敏感数据信息;人脸识别系统、车辆管理系统均存在登录账号弱口令问题;账号未设置权限管理;存放用户数据的办公电脑使用向日葵远程控制软件进行操作。 | 《数据安全法》第二十七条、第四十五条。 | 给予该公司警告,并责令限期改正。 |
18 | 湖南省怀化市沅陵县某燃气公司 | 2023年3月前 | 2023年3月 | 该公司办公电脑未设置开机密码,缴费系统账号密码均为弱口令,并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。 | 《数据安全法》第二十七条、第四十五条。 | 给予该企业警告,并责令限期改正。 |
19 | 湖南省长沙市岳麓区某电商平台 | 2023年2月前 | 2023年2月 | 企业服务器存在未授权访问漏洞,未制定数据安全管理制度、未充分落实网络安全等级保护制度。 | 《数据安全法》第二十七条、第四十五条。 | 给予该企业警告,并处罚款五万元,对直接责任人处罚款一万元,责令限期改正。 |
20 | 湖南省湘潭市某商旅服务公司 | 2023年2月前 | 2023年2月 | 票务系统中存有大量敏感数据,且无需账号密码条件下可直接访问系统内敏感数据。 | 《数据安全法》第二十七条、第四十五条。 | 给予该企业警告,并责令限期改正。 |
21 | 浙江省宁波市某金融科技公司 | 2023年 | 2023年 | 未建立数据安全管理制度和操作规程,也未落实网络安全等级保护制度。 | 《数据安全法》第二十七条、第四十五条。 | 对该公司给予警告,并处罚款15万元,责令限期改正。 |
22 | 上海某科技公司 | 2022年10月13日前 | 2022年10月13日 | 处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全。 | 《数据安全法》第二十七条、第四十五条。 | 责令改正,给予警告,并处以人民币五万元罚款的行政处罚。 |
23 | 广州某公司 | 2022年2月前 | 2022年7月26日 | 对采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。 | 《数据安全法》第二十七条、第四十五条。 | 警告并处罚款人民币5万元的行政处罚。 |
24 | 滴滴全球股份有限公司 | 2015年6月-2022年6月 | 2022年7月21日 | 违规收集多项个人敏感信息。 | 《数据安全法》第三十二条、第四十九条。 | 对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。 |
25 | 枣庄市台儿庄某公司 | 2022年5月26日前 | 2022年5月26日 | 对采集的数据未采取安全防护技术措施。 | 《数据安全法》第二十七条、第四十五条。 | 行政警告处罚,并责令改正。 |
26 | 微记账等38款App的运营主体 | 2022年2月前 | 2022年2月 | 收集与其提供服务无关的个人信息,未经同意向他人提供个人信息。 | 《数据安全法》第三十二条、第四十九条。 | 责令违规App限期整改。 |
27 | 违法行为人韦某 | 2022年1月28日 | 2022年2月28日 | 瞒报行程轨迹信息。 | 《数据安全法》第三十五条、第四十九条。 | 对违法行为人韦某处以罚款二百元。 |
28 | 上海某信息科技公司 | 2021年1月-2021年7月 | 2021年12月31日 | 向境外出售高铁数据。 | 《数据安全法》第三十一条、第四十六条。 | 销售总监王某、销售迟某、法定代表人王某被逮捕。 |
29 | 闪修侠等87款App的运营主体 | 2021年12月10日前 | 2021年12月10日 | 违法违规收集使用个人信息。 | 《数据安全法》第三十二条、第四十九条。 | 责令违规App限期整改。 |
30 | “民生宝”“快速问医生”等7款App的运营主体 | 2021年10月27日前 | 2021年10月27日 | 违法违规收集使用个人信息。 | 《数据安全法》第三十二条、第四十九条。 | 各平台运营主体应于15个工作日内完成整改。 |
31 | “加油海南”“HAI生活”等7款APP的运营主体 | 2021年8月11日前 | 2021年8月11日 | 违法违规超范围收集使用个人信息。 | 《数据安全法》第三十二条、第四十九条。 | 责令相关企业限期整改。 |
32 | 特斯拉 | 2021年5月25日前 | 2021年 | 国内数据上传至境外服务器。 | 《数据安全法》第三十一条、第四十六条。 | 限定期限内实现数据存储本地化。 |
来源:数达安全
相关阅读
一图读懂国家标准GB/Z42885-2023《信息安全技术网络安全信息共享指南》