2023年10月11日,发现上海市某科技公司相关数据库存在未授权访问漏洞,部分数据被窃并传输到境外。上海市网信办将相关情况通报涉事企业并要求立即核查整改,但该科技公司无视数据安全保护责任,未进行及时有效整改且擅自将涉事数据库一删了之,意图逃避处罚。上海市网信办依据《数据安全法》对该科技公司及公司直接责任人员予以行政处罚。
经调查核实,该科技公司主要从事为保险类企业提供互联网通信服务。2022年10月,公司安装配置了一台Elasticsearch数据库服务器,用于搜集多个应用系统的业务日志,并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息。该公司未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,因数据库存在未授权访问漏洞,造成部分数据泄漏被传输到境外IP。同时企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告,未有效履行数据安全保护义务。
针对以上违法情况,上海市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币8万元罚款的行政处罚;对公司直接责任人员作出罚款人民币1万元的行政处罚。
上海市网信办相关负责人强调,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定。开展数据处理活动的企业应当依照法律、法规的规定,完善相关管理制度,采取相应的技术措施和其他必要措施,保障数据安全。一旦发现数据安全缺陷、漏洞等风险时,企业应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时向网信部门报告,擅自删除涉事数据库的行为不仅无益无效而且违法违规,将会受到法律惩处。
下一步,上海市网信办将深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律要求,持续加强网络安全、数据安全和个人信息保护工作,督促企业切实履行好主体责任,对问题严重、屡教不改的企业坚决予以依法查处。
类似的案例还有很多,接下来,本文就带大家盘点一下典型的数据泄露处罚案例。
数十家单位因数据安全合规问题受到处罚
近些年,数据安全风险蔓延至政府机构、金融行业、医疗机构、教育系统,交通运输等各个领域,泄露威胁也已超出个体和组织的范畴,成为整个社会经济发展的潜在风险。因此,对于数据安全问题,国家逐步完善立法,扩大数据保护“围城”,加大处罚力度。
1、南昌某高校因3万余条师生个人信息数据泄露被罚南昌市网信办依法对属地某高校作出行政处罚
2023年8月,接到网友举报南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖的消息后,南昌公安网安机构立刻组织人员展开调查,最终成功抓获犯罪嫌疑人3名。同时,公安机关对涉案高校不履行数据安全保护义务违法行为开展执法检查。
经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施以保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。最终,南昌公安网安部门根据《数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
2、北海某公司因泄露约22万条民众数据信息被罚
广西北海公安局接到辖区内某网站存在数据泄露问题的线报,涉案公司建设有一个主要提供网上咨询服务的网站,收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作的要求落实网络安全保护主体责任。
此外,该网站服务器安全防护措施不足,存在被多个境外IP攻击入侵的情况。对于明显存在的数据安全风险,涉案公司未采取数据加密等有效的技术保护措施,来确保其储存的信息安全,导致约22万条个人信息数据被挂在境外论坛售卖。
更为可恨的是,该公司发现个人信息泄露后未及时告知用户,也未主动向公安机关报告,并且还存在网络日志留存不足6个月及相关安全管理制度缺失等问题。
对此,北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定(网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。)对涉案公司及其直接负责人分别作出罚款20万元、3万元的行政处罚。
3、违规泄露政府数据,一企业被罚100万
2023年3月,浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至自身租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。
浙江温州公安机关根据《数据安全法》第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。
值得一提是,本案不仅处罚了数据泄露引起方,还连累了甲方建设单位。最终,该单位因失管失察、未履行数据安全保护职责的情况,当地纪委监委依照《温州市党委(党组)网络安全工作责任制实施细则》规定,对建设单位主要负责同志、部门负责人等4人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。
基于数据安全的重要性,国内不仅对造成数据泄露的主体加大处罚力度,对于没有尽到自身数据保护义务的实体组织,也加大监管力度。
4、泰州某企业未履行关键数据保护,被处罚5万元
江苏泰州公安网安部门发现当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞,且未建立全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的24万余条业务数据泄露,涉嫌未履行数据安全保护义务。
查获案件详情后,泰州公安机关依据《数据安全法》第45条规定,对该不动产登记中心予以行政警告并责令改正,对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
5、某软件公司未履行数据安全保护义务,存在数据泄露风险隐患被罚5万元
2023年6月,北京市公安局昌平分局警务支援大队工作发现北京速跑软件有限公司研发的“某数据分析系统”存在数据泄露隐患。经过仔细排查,公安部门发现该公司研发的“数据分析系统”内存有用户敏感数据,经进一步核实查验,该系统内数据信息未采用加密措施,系统服务器未采取任何网络防护措施和技术防护措施,造成19.1 GB个人敏感信息暴露在互联网。
随着调查深入,公安机关还获悉该公司未曾制定数据安全管理制度、未充分落实网络安全等级保护制度。最终,北京市公安局昌平分局根据《中华人民共和国数据安全法》第二十七条、第四十五条第一款的规定,给予该企业警告,并处罚款5万元,责令限期改正。
6、山东某信息科技有限公司不履行网络安全保护义务案。
2023年7月,济南网安在巡查中发现山东某信息科技有限公司主机疑似数据被窃取。经现场取证,该公司涉事主机3306端口开放Mysql数据库服务,存在未授权访问漏洞,导致数据库被拖库,查明该公司存在未采取防范网络攻击、网络侵入等危害网络安全行为的技术措施,未留存监测、记录网络运行状态的网络日志信息等违法情形,致使数据库被拖库造成数据泄露。公安机关依法对该公司及具体运维人员予以行政处罚。
7、浙江农商联合银行被罚380万浙江农商联合银行被罚380万,涉数据安全管理缺失等11项违规
7月14日,国家金融监督管理总局发布的行政处罚信息显示浙江农商联合银行存在11项主要违法违规行为,依据《中华人民共和国银行业监督管理法》第四十六条第一项、第三项、第五项;《中华人民共和国商业银行法》第七十五条第二项,被银保监会浙江监管局罚款380万。其中很重要的一条就是数据安全管理缺失。
8、株洲某软件学校网站致使学生数据存在暴露风险
2023年3月,株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某软件学校网站存在短文件名泄露漏洞。经网安大队检查发现,该网站系统中存在大量学生姓名、身份证号、电话号码、家庭住址等敏感信息。
针对该学校未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,存在数据泄露风险的现象。株洲市公安局荷塘分局根据《数据安全法》第45条第一款,给予该学校警告,并责令限期改正。
9、湖南长沙某公司存在数据泄露风险,被罚5万元
2023年2月,湖南省长沙市公安局岳麓分局网安部门工作发现辖区内某电商平台存在数据泄露的隐患,迅速组织专业技术人员调取该公司日志并约谈单位相关责任人员。经查,该企业服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。
通过进一步核实,该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。最后,长沙市公安局岳麓分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款5万元,对直接责任人处罚款1万元,责令限期改正。
10、物业公司存在信息泄露风险,被责令限期更改
湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件时发现某小区业主信息泄露线索,随即对小区所属物业公司发起“一案双查”经查,该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息。
同时,人脸识别系统、车辆管理系统均存在登录账号弱口令,账号未设置权限管理,存放用户数据的办公电脑使用向日葵远程控制软件进行操作,且未采取任何安全防护措施,未履行数据安全保护义务。永州东安县公安局依据《数据安全法》第二十七条、第四十五条第一款之规定,给予该公司警告,并责令限期改正。
国内数据合规趋严,企业数据监管压力增长
从上述案例不难看出,数据泄露问题已经渗透到政府机构、关键基础设施、金融业、农业、工业、教育机构、医疗等社会各个行业。令人担忧的是,根据相关机构发布的数泄露研究报告显示,近一半的数据泄露事件会发生二次泄露,造成直接和潜在的损失达到万亿美元级,并威胁到数十亿人的数据信息安全。
认识到数据是国家重要资产和战略资源,数据安全就是国家安全这一共识后,国内相关机构为防范数据泄露和滥用,逐步加强对数据传输的监管、限制敏感数据的出境、要求重点数据存储在国内,对于涉及国家安全的关键信息基础设施和核心技术的数据安全,开始进行更加严格、全面的安全审查。
再加上相继推出的《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《数据安全法》等“上位法”中都明确对个人数据和重要数据的保护要求,规定了企业在数据处理和存储方面的责任和义务。
这些法律法规在宣传和强调数据安全重要性的同时,同样也在督促社会机构建立其健全的数据安全管理制度和技术保障措施。简单来说,基于目前数据合规法律法规框架的要求,组织需要制定合规的个人信息保护政策和措施,确保用户数据的安全和隐私安全。
与此同时,对内还需对员工(这一点尤为重要,许多数据泄漏的主要原因就是内部员工数据保护意识淡薄)、合作伙伴等内部人员的数据进行合理管理和保护,建立健全的安全漏洞管理和事件应对机制,及时发现和修复内部的安全漏洞,有效应对数据泄露、网络攻击等安全事件,防止数据被恶意利用或泄露。
对于涉及跨境数据传输的实体组织,以及涉及关键领域的企业需要经过国家安全审查,确保其数据处理和存储不会对国家安全造成风险,这要求其加强内部安全管理,遵守相关规定,转变数据使用思维,从“一味利用数据”,转变到“合理善用数据”,积极配合国家对于数据安全保护的整体方针。
总体而言,在国内数据安全监管趋势越来越严格,数据处理不当处罚越来越重的整体环境下,实体组织要做好数据安全管理,确保数据的合法、安全和稳定运营,牢记一旦违反国家核心数据管理制度,危害国家主权、安全和发展利益的,轻则根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,依法追究刑事责任。