數(shù)據(jù)泄漏問(wèn)題呈現(xiàn)日益嚴(yán)峻的趨勢(shì)，并且正在給企業(yè)帶來(lái)嚴(yán)重的創(chuàng)傷。 Ponemon 《2022 年數(shù)據(jù)泄露成本報(bào)告》顯示，數(shù)據(jù)泄漏成本平均損失高達(dá) 435 萬(wàn)美元，創(chuàng)下歷史新高，數(shù)據(jù)泄露問(wèn)題已然成為實(shí)體組織經(jīng)營(yíng)生產(chǎn)難以逾越的“鴻溝”之一。

為保障數(shù)據(jù)安全，國(guó)內(nèi)逐漸相繼推出《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》等法律法規(guī)，明確對(duì)個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的保護(hù)要求，規(guī)定企業(yè)在數(shù)據(jù)處理和存儲(chǔ)方面的責(zé)任和義務(wù)。

面對(duì)嚴(yán)格的法律規(guī)范，仍舊有一部分組織機(jī)構(gòu)“置若罔聞”，違法規(guī)定，從而引發(fā)數(shù)據(jù)泄露事件，甚至部分企業(yè)在明知自身存在安全隱患的情況下，依舊放任漏洞存在，不做任何保護(hù)，致使用戶數(shù)據(jù)處于風(fēng)險(xiǎn)之中。

近日，上海市某科技公司相關(guān)數(shù)據(jù)庫(kù)存在未授權(quán)訪問(wèn)漏洞，部分?jǐn)?shù)據(jù)被竊并傳輸?shù)骄惩?，上海市網(wǎng)信辦將相關(guān)情況通報(bào)涉事企業(yè)并要求立即核查整改，但該科技公司無(wú)視數(shù)據(jù)安全保護(hù)責(zé)任，未進(jìn)行及時(shí)有效整改且擅自將涉事數(shù)據(jù)庫(kù)一刪了之，意圖逃避處罰。

經(jīng)調(diào)查核實(shí)，該科技公司主要從事為保險(xiǎn)類企業(yè)提供互聯(lián)網(wǎng)通信服務(wù)，在 2022 年 10 月，公司安裝配置了一臺(tái) Elasticsearch 數(shù)據(jù)庫(kù)服務(wù)器，用于搜集多個(gè)應(yīng)用系統(tǒng)的業(yè)務(wù)日志，并存儲(chǔ)了包含用戶姓名、身份證號(hào)碼、手機(jī)號(hào)在內(nèi)的大量個(gè)人信息，但該公司未建立健全全流程數(shù)據(jù)安全管理制度，未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，因數(shù)據(jù)庫(kù)存在未授權(quán)訪問(wèn)漏洞，造成部分?jǐn)?shù)據(jù)泄漏被傳輸?shù)骄惩?IP。

同時(shí)，企業(yè)私自刪除涉事數(shù)據(jù)庫(kù)逃避責(zé)任、沒(méi)有按照規(guī)定及時(shí)向網(wǎng)信部門(mén)報(bào)告，未有效履行數(shù)據(jù)安全保護(hù)義務(wù)。針對(duì)以上違法情況，上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條，對(duì)該科技公司作出責(zé)令改正，給予警告，并處人民幣 8 萬(wàn)元罰款的行政處罰；對(duì)公司直接責(zé)任人員作出罰款人民幣 1 萬(wàn)元的行政處罰。

類似的案例還有很多，接下來(lái)，本文就帶大家盤(pán)點(diǎn)一下典型的數(shù)據(jù)泄露處罰案例。

數(shù)十家單位因數(shù)據(jù)安全合規(guī)問(wèn)題受到處罰

近些年，數(shù)據(jù)安全風(fēng)險(xiǎn)蔓延至政府機(jī)構(gòu)、金融行業(yè)、醫(yī)療機(jī)構(gòu)、教育系統(tǒng)，交通運(yùn)輸?shù)雀鱾€(gè)領(lǐng)域，泄露威脅也已超出個(gè)體和組織的范疇，成為整個(gè)社會(huì)經(jīng)濟(jì)發(fā)展的潛在風(fēng)險(xiǎn)。因此，對(duì)于數(shù)據(jù)安全問(wèn)題，國(guó)家逐步完善立法，擴(kuò)大數(shù)據(jù)保護(hù)“圍城”，加大處罰力度。

南昌某高校因 3 萬(wàn)余條師生個(gè)人信息數(shù)據(jù)泄露被罰

2023 年 8 月，接到網(wǎng)友舉報(bào)南昌某高校 3 萬(wàn)余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開(kāi)售賣的消息后，南昌公安網(wǎng)安機(jī)構(gòu)立刻組織人員展開(kāi)調(diào)查，最終成功抓獲犯罪嫌疑人 3 名。同時(shí)，公安機(jī)關(guān)對(duì)涉案高校不履行數(shù)據(jù)安全保護(hù)義務(wù)違法行為開(kāi)展執(zhí)法檢查。

經(jīng)查，涉案高校在開(kāi)展數(shù)據(jù)處理活動(dòng)中，未建立全流程數(shù)據(jù)安全管理制度，未采取技術(shù)措施以保障數(shù)據(jù)安全，未履行數(shù)據(jù)安全保護(hù)義務(wù)，導(dǎo)致學(xué)校存儲(chǔ)教職工信息、學(xué)生信息、繳費(fèi)信息等 3000 余萬(wàn)條信息的數(shù)據(jù)庫(kù)被黑客非法入侵，其中 3 萬(wàn)余條教職工、學(xué)生個(gè)人敏感信息數(shù)據(jù)被非法兜售。

最終，南昌公安網(wǎng)安部門(mén)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，對(duì)該學(xué)校作出責(zé)令改正、警告并處 80萬(wàn)元人民幣 罰款的處罰，對(duì)主要責(zé)任人作出人民幣 5 萬(wàn)元罰款的處罰。

北海某公司因泄露約 22 萬(wàn)條民眾數(shù)據(jù)信息被罰

廣西北海公安局接到轄區(qū)內(nèi)某網(wǎng)站存在數(shù)據(jù)泄露問(wèn)題的線報(bào)，涉案公司建設(shè)有一個(gè)主要提供網(wǎng)上咨詢服務(wù)的網(wǎng)站，收集了個(gè)人和企業(yè)等大量公民信息，但未能按照《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》以及有關(guān)等級(jí)保護(hù)工作的要求落實(shí)網(wǎng)絡(luò)安全保護(hù)主體責(zé)任。

此外，該網(wǎng)站服務(wù)器安全防護(hù)措施不足，存在被多個(gè)境外 IP 攻擊入侵的情況。對(duì)于明顯存在的數(shù)據(jù)安全風(fēng)險(xiǎn)，涉案公司未采取數(shù)據(jù)加密等有效的技術(shù)保護(hù)措施，來(lái)確保其儲(chǔ)存的信息安全，導(dǎo)致約 22 萬(wàn)條個(gè)人信息數(shù)據(jù)被掛在境外論壇售賣。

更為可恨的是，該公司發(fā)現(xiàn)個(gè)人信息泄露后未及時(shí)告知用戶，也未主動(dòng)向公安機(jī)關(guān)報(bào)告，并且還存在網(wǎng)絡(luò)日志留存不足 6 個(gè)月及相關(guān)安全管理制度缺失等問(wèn)題。

對(duì)此，北海公安機(jī)關(guān)根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四十二條的規(guī)定（網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。）對(duì)涉案公司及其直接負(fù)責(zé)人分別作出罰款 20 萬(wàn)元、3 萬(wàn)元的行政處罰。

違規(guī)泄露政府?dāng)?shù)據(jù)，一企業(yè)被罰 100 萬(wàn)

2023 年 3 月，浙江某科技有限公司為浙江某縣級(jí)市政府部門(mén)開(kāi)發(fā)運(yùn)維信息管理系統(tǒng)的過(guò)程中，在未經(jīng)建設(shè)單位同意的情況下，將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至自身租用的公有云服務(wù)器上，且未采取安全保護(hù)措施，造成了嚴(yán)重的數(shù)據(jù)泄露。

浙江溫州公安機(jī)關(guān)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，對(duì)公司及項(xiàng)目主管人員、直接責(zé)任人員分別作出罰款 100 萬(wàn)元、8 萬(wàn)元、6 萬(wàn)元的行政處罰。

值得一提是，本案不僅處罰了數(shù)據(jù)泄露引起方，還連累了甲方建設(shè)單位。最終，該單位因失管失察、未履行數(shù)據(jù)安全保護(hù)職責(zé)的情況，當(dāng)?shù)丶o(jì)委監(jiān)委依照《溫州市黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施細(xì)則》規(guī)定，對(duì)建設(shè)單位主要負(fù)責(zé)同志、部門(mén)負(fù)責(zé)人等 4 人分別作出批評(píng)教育、誡勉談話和政務(wù)立案調(diào)查等追究問(wèn)責(zé)決定。

基于數(shù)據(jù)安全的重要性，國(guó)內(nèi)不僅對(duì)造成數(shù)據(jù)泄露的主體加大處罰力度，對(duì)于沒(méi)有盡到自身數(shù)據(jù)保護(hù)義務(wù)的實(shí)體組織，也加大監(jiān)管力度。

泰州某企業(yè)未履行關(guān)鍵數(shù)據(jù)保護(hù)，被處罰 5 萬(wàn)元

數(shù)據(jù)合規(guī)問(wèn)題曾發(fā)生過(guò)一起典型案件，江蘇泰州公安網(wǎng)安部門(mén)發(fā)現(xiàn)當(dāng)?shù)啬巢粍?dòng)產(chǎn)登記中心的“業(yè)務(wù)練兵系統(tǒng)”存在 Elasticsearch 未授權(quán)訪問(wèn)安全漏洞，且未建立全流程數(shù)據(jù)安全管理制度，未落實(shí)有效的數(shù)據(jù)安全防護(hù)措施，可致該系統(tǒng)中存儲(chǔ)的 24 萬(wàn)余條業(yè)務(wù)數(shù)據(jù)泄露，涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。

查獲案件詳情后，泰州公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第 45 條規(guī)定，對(duì)該不動(dòng)產(chǎn)登記中心予以行政警告并責(zé)令改正，對(duì)該系統(tǒng)的建設(shè)運(yùn)維單位北京某科技發(fā)展研究中心予以行政警告并處罰款 5 萬(wàn)元。

某軟件公司未履行數(shù)據(jù)安全保護(hù)義務(wù)，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患被罰 5 萬(wàn)元

2023 年 6 月，北京市公安局昌平分局警務(wù)支援大隊(duì)工作發(fā)現(xiàn)北京速跑軟件有限公司研發(fā)的“某數(shù)據(jù)分析系統(tǒng)”存在數(shù)據(jù)泄露隱患。

經(jīng)過(guò)仔細(xì)排查，公安部門(mén)發(fā)現(xiàn)該公司研發(fā)的“數(shù)據(jù)分析系統(tǒng)”內(nèi)存有用戶敏感數(shù)據(jù)，經(jīng)進(jìn)一步核實(shí)查驗(yàn)，該系統(tǒng)內(nèi)數(shù)據(jù)信息未采用加密措施，系統(tǒng)服務(wù)器未采取任何網(wǎng)絡(luò)防護(hù)措施和技術(shù)防護(hù)措施，造成 19.1 GB個(gè)人敏感信息暴露在互聯(lián)網(wǎng)。

隨著調(diào)查深入，公安機(jī)關(guān)還獲悉該公司未曾制定數(shù)據(jù)安全管理制度、未充分落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。最終，北京市公安局昌平分局根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》第二十七條、第四十五條第一款的規(guī)定，給予該企業(yè)警告，并處罰款 5 萬(wàn)元，責(zé)令限期改正。

山東某信息科技有限公司不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)案

2023 年 7 月，濟(jì)南網(wǎng)安在巡查中發(fā)現(xiàn)山東某信息科技有限公司主機(jī)疑似數(shù)據(jù)被竊取。經(jīng)現(xiàn)場(chǎng)取證，該公司涉事主機(jī) 3306 端口開(kāi)放 Mysql 數(shù)據(jù)庫(kù)服務(wù)，存在未授權(quán)訪問(wèn)漏洞，導(dǎo)致數(shù)據(jù)庫(kù)被拖庫(kù)，查明該公司存在未采取防范網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，未留存監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的網(wǎng)絡(luò)日志信息等違法情形，致使數(shù)據(jù)庫(kù)被拖庫(kù)造成數(shù)據(jù)泄露。公安機(jī)關(guān)依法對(duì)該公司及具體運(yùn)維人員予以行政處罰

浙江農(nóng)商聯(lián)合銀行被罰 380 萬(wàn)

7 月 14 日，國(guó)家金融監(jiān)督管理總局發(fā)布的行政處罰信息顯示浙江農(nóng)商聯(lián)合銀行存在 11 項(xiàng)主要違法違規(guī)行為，依據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》第四十六條第一項(xiàng)、第三項(xiàng)、第五項(xiàng)；《中華人民共和國(guó)商業(yè)銀行法》第七十五條第二項(xiàng)，被銀保監(jiān)會(huì)浙江監(jiān)管局罰款 380 萬(wàn)。其中很重要的一條就是數(shù)據(jù)安全管理缺失。

株洲某軟件學(xué)校網(wǎng)站致使學(xué)生數(shù)據(jù)存在暴露風(fēng)險(xiǎn)

2023 年  3月，株洲市公安局荷塘分局網(wǎng)安大隊(duì)接株洲市網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào)，株洲某軟件學(xué)校網(wǎng)站存在短文件名泄露漏洞。經(jīng)網(wǎng)安大隊(duì)檢查發(fā)現(xiàn)，該網(wǎng)站系統(tǒng)中存在大量學(xué)生姓名、身份證號(hào)、電話號(hào)碼、家庭住址等敏感信息。

針對(duì)該學(xué)校未對(duì)前述數(shù)據(jù)采取應(yīng)有的技術(shù)保護(hù)措施，未履行數(shù)據(jù)安全保護(hù)義務(wù)，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)的現(xiàn)象。株洲市公安局荷塘分局根據(jù)《數(shù)據(jù)安全法》第 45 條第一款，給予該學(xué)校警告，并責(zé)令限期改正。

湖南長(zhǎng)沙某公司存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，被罰 5 萬(wàn)元

2023 年 2 月，湖南省長(zhǎng)沙市公安局岳麓分局網(wǎng)安部門(mén)工作發(fā)現(xiàn)轄區(qū)內(nèi)某電商平臺(tái)存在數(shù)據(jù)泄露的隱患，迅速組織專業(yè)技術(shù)人員調(diào)取該公司日志并約談單位相關(guān)責(zé)任人員。經(jīng)查，該企業(yè)服務(wù)器存在未授權(quán)訪問(wèn)漏洞，用戶隱私數(shù)據(jù)存在泄露風(fēng)險(xiǎn)。

通過(guò)進(jìn)一步核實(shí)，該企業(yè)未制定數(shù)據(jù)安全管理制度、未充分落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。最后，長(zhǎng)沙市公安局岳麓分局根據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條第一款之規(guī)定，給予該企業(yè)警告，并處罰款 5 萬(wàn)元，對(duì)直接責(zé)任人處罰款 1 萬(wàn)元，責(zé)令限期改正。

物業(yè)公司存在信息泄露風(fēng)險(xiǎn)，被責(zé)令限期更改

湖南省永州市東安縣公安局網(wǎng)安部門(mén)在查辦一起侵犯公民個(gè)人信息案件時(shí)發(fā)現(xiàn)某小區(qū)業(yè)主信息泄露線索，隨即對(duì)小區(qū)所屬物業(yè)公司發(fā)起“一案雙查”經(jīng)查，該公司使用的人臉識(shí)別系統(tǒng)、車輛管理系統(tǒng)中明文存有 6000 余名業(yè)主姓名、電話、身份證號(hào)、銀行賬戶等敏感數(shù)據(jù)信息。

同時(shí)，人臉識(shí)別系統(tǒng)、車輛管理系統(tǒng)均存在登錄賬號(hào)弱口令，賬號(hào)未設(shè)置權(quán)限管理，存放用戶數(shù)據(jù)的辦公電腦使用向日葵遠(yuǎn)程控制軟件進(jìn)行操作，且未采取任何安全防護(hù)措施，未履行數(shù)據(jù)安全保護(hù)義務(wù)。永州東安縣公安局依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條第一款之規(guī)定，給予該公司警告，并責(zé)令限期改正。

國(guó)內(nèi)數(shù)據(jù)合規(guī)趨嚴(yán)，企業(yè)數(shù)據(jù)監(jiān)管壓力增長(zhǎng)

從上述案例不難看出，數(shù)據(jù)泄露問(wèn)題已經(jīng)滲透到政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施、金融業(yè)、農(nóng)業(yè)、工業(yè)、教育機(jī)構(gòu)、醫(yī)療等社會(huì)各個(gè)行業(yè)。令人擔(dān)憂的是，根據(jù)相關(guān)機(jī)構(gòu)發(fā)布的數(shù)泄露研究報(bào)告顯示，近一半的數(shù)據(jù)泄露事件會(huì)發(fā)生二次泄露，造成直接和潛在的損失達(dá)到萬(wàn)億美元級(jí)，并威脅到數(shù)十億人的數(shù)據(jù)信息安全。

認(rèn)識(shí)到數(shù)據(jù)是國(guó)家重要資產(chǎn)和戰(zhàn)略資源，數(shù)據(jù)安全就是國(guó)家安全這一共識(shí)后，國(guó)內(nèi)相關(guān)機(jī)構(gòu)為防范數(shù)據(jù)泄露和濫用，逐步加強(qiáng)對(duì)數(shù)據(jù)傳輸?shù)谋O(jiān)管、限制敏感數(shù)據(jù)的出境、要求重點(diǎn)數(shù)據(jù)存儲(chǔ)在國(guó)內(nèi)，對(duì)于涉及國(guó)家安全的關(guān)鍵信息基礎(chǔ)設(shè)施和核心技術(shù)的數(shù)據(jù)安全，開(kāi)始進(jìn)行更加嚴(yán)格、全面的安全審查。

再加上相繼推出的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》等“上位法”中都明確對(duì)個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的保護(hù)要求，規(guī)定了企業(yè)在數(shù)據(jù)處理和存儲(chǔ)方面的責(zé)任和義務(wù)。

這些法律法規(guī)在宣傳和強(qiáng)調(diào)數(shù)據(jù)安全重要性的同時(shí)，同樣也在督促社會(huì)機(jī)構(gòu)建立其健全的數(shù)據(jù)安全管理制度和技術(shù)保障措施。簡(jiǎn)單來(lái)說(shuō)，基于目前數(shù)據(jù)合規(guī)法律法規(guī)框架的要求，組織需要制定合規(guī)的個(gè)人信息保護(hù)政策和措施，確保用戶數(shù)據(jù)的安全和隱私安全。

與此同時(shí)，對(duì)內(nèi)還需對(duì)員工（這一點(diǎn)尤為重要，許多數(shù)據(jù)泄漏的主要原因就是內(nèi)部員工數(shù)據(jù)保護(hù)意識(shí)淡?。?、合作伙伴等內(nèi)部人員的數(shù)據(jù)進(jìn)行合理管理和保護(hù)，建立健全的安全漏洞管理和事件應(yīng)對(duì)機(jī)制，及時(shí)發(fā)現(xiàn)和修復(fù)內(nèi)部的安全漏洞，有效應(yīng)對(duì)數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全事件，防止數(shù)據(jù)被惡意利用或泄露。

對(duì)于涉及跨境數(shù)據(jù)傳輸?shù)膶?shí)體組織，以及涉及關(guān)鍵領(lǐng)域的企業(yè)需要經(jīng)過(guò)國(guó)家安全審查，確保其數(shù)據(jù)處理和存儲(chǔ)不會(huì)對(duì)國(guó)家安全造成風(fēng)險(xiǎn)，這要求其加強(qiáng)內(nèi)部安全管理，遵守相關(guān)規(guī)定，轉(zhuǎn)變數(shù)據(jù)使用思維，從“一味利用數(shù)據(jù)”，轉(zhuǎn)變到“合理善用數(shù)據(jù)”，積極配合國(guó)家對(duì)于數(shù)據(jù)安全保護(hù)的整體方針。

總體而言，在國(guó)內(nèi)數(shù)據(jù)安全監(jiān)管趨勢(shì)越來(lái)越嚴(yán)格，數(shù)據(jù)處理不當(dāng)處罰越來(lái)越重的整體環(huán)境下，實(shí)體組織要做好數(shù)據(jù)安全管理，確保數(shù)據(jù)的合法、安全和穩(wěn)定運(yùn)營(yíng)，牢記一旦違反國(guó)家核心數(shù)據(jù)管理制度，危害國(guó)家主權(quán)、安全和發(fā)展利益的，輕則根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，構(gòu)成犯罪的，依法追究刑事責(zé)任。