數(shù)據(jù)泄漏問題呈現(xiàn)日益嚴(yán)峻的趨勢,并且正在給企業(yè)帶來嚴(yán)重的創(chuàng)傷。 Ponemon 《2022 年數(shù)據(jù)泄露成本報告》顯示,數(shù)據(jù)泄漏成本平均損失高達(dá) 435 萬美元,創(chuàng)下歷史新高,數(shù)據(jù)泄露問題已然成為實體組織經(jīng)營生產(chǎn)難以逾越的“鴻溝”之一。
為保障數(shù)據(jù)安全,國內(nèi)逐漸相繼推出《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國個人信息保護(hù)法》、《數(shù)據(jù)安全法》等法律法規(guī),明確對個人數(shù)據(jù)和重要數(shù)據(jù)的保護(hù)要求,規(guī)定企業(yè)在數(shù)據(jù)處理和存儲方面的責(zé)任和義務(wù)。
面對嚴(yán)格的法律規(guī)范,仍舊有一部分組織機(jī)構(gòu)“置若罔聞”,違法規(guī)定,從而引發(fā)數(shù)據(jù)泄露事件,甚至部分企業(yè)在明知自身存在安全隱患的情況下,依舊放任漏洞存在,不做任何保護(hù),致使用戶數(shù)據(jù)處于風(fēng)險之中。
近日,上海市某科技公司相關(guān)數(shù)據(jù)庫存在未授權(quán)訪問漏洞,部分?jǐn)?shù)據(jù)被竊并傳輸?shù)骄惩猓虾J芯W(wǎng)信辦將相關(guān)情況通報涉事企業(yè)并要求立即核查整改,但該科技公司無視數(shù)據(jù)安全保護(hù)責(zé)任,未進(jìn)行及時有效整改且擅自將涉事數(shù)據(jù)庫一刪了之,意圖逃避處罰。
經(jīng)調(diào)查核實,該科技公司主要從事為保險類企業(yè)提供互聯(lián)網(wǎng)通信服務(wù),在 2022 年 10 月,公司安裝配置了一臺 Elasticsearch 數(shù)據(jù)庫服務(wù)器,用于搜集多個應(yīng)用系統(tǒng)的業(yè)務(wù)日志,并存儲了包含用戶姓名、身份證號碼、手機(jī)號在內(nèi)的大量個人信息,但該公司未建立健全全流程數(shù)據(jù)安全管理制度,未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全,因數(shù)據(jù)庫存在未授權(quán)訪問漏洞,造成部分?jǐn)?shù)據(jù)泄漏被傳輸?shù)骄惩?IP。
同時,企業(yè)私自刪除涉事數(shù)據(jù)庫逃避責(zé)任、沒有按照規(guī)定及時向網(wǎng)信部門報告,未有效履行數(shù)據(jù)安全保護(hù)義務(wù)。針對以上違法情況,上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條,對該科技公司作出責(zé)令改正,給予警告,并處人民幣 8 萬元罰款的行政處罰;對公司直接責(zé)任人員作出罰款人民幣 1 萬元的行政處罰。
類似的案例還有很多,接下來,本文就帶大家盤點一下典型的數(shù)據(jù)泄露處罰案例。
數(shù)十家單位因數(shù)據(jù)安全合規(guī)問題受到處罰
近些年,數(shù)據(jù)安全風(fēng)險蔓延至政府機(jī)構(gòu)、金融行業(yè)、醫(yī)療機(jī)構(gòu)、教育系統(tǒng),交通運輸?shù)雀鱾€領(lǐng)域,泄露威脅也已超出個體和組織的范疇,成為整個社會經(jīng)濟(jì)發(fā)展的潛在風(fēng)險。因此,對于數(shù)據(jù)安全問題,國家逐步完善立法,擴(kuò)大數(shù)據(jù)保護(hù)“圍城”,加大處罰力度。
南昌某高校因 3 萬余條師生個人信息數(shù)據(jù)泄露被罰
2023 年 8 月,接到網(wǎng)友舉報南昌某高校 3 萬余條師生個人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣的消息后,南昌公安網(wǎng)安機(jī)構(gòu)立刻組織人員展開調(diào)查,最終成功抓獲犯罪嫌疑人 3 名。同時,公安機(jī)關(guān)對涉案高校不履行數(shù)據(jù)安全保護(hù)義務(wù)違法行為開展執(zhí)法檢查。
經(jīng)查,涉案高校在開展數(shù)據(jù)處理活動中,未建立全流程數(shù)據(jù)安全管理制度,未采取技術(shù)措施以保障數(shù)據(jù)安全,未履行數(shù)據(jù)安全保護(hù)義務(wù),導(dǎo)致學(xué)校存儲教職工信息、學(xué)生信息、繳費信息等 3000 余萬條信息的數(shù)據(jù)庫被黑客非法入侵,其中 3 萬余條教職工、學(xué)生個人敏感信息數(shù)據(jù)被非法兜售。
最終,南昌公安網(wǎng)安部門根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定,對該學(xué)校作出責(zé)令改正、警告并處 80萬元人民幣 罰款的處罰,對主要責(zé)任人作出人民幣 5 萬元罰款的處罰。
北海某公司因泄露約 22 萬條民眾數(shù)據(jù)信息被罰
廣西北海公安局接到轄區(qū)內(nèi)某網(wǎng)站存在數(shù)據(jù)泄露問題的線報,涉案公司建設(shè)有一個主要提供網(wǎng)上咨詢服務(wù)的網(wǎng)站,收集了個人和企業(yè)等大量公民信息,但未能按照《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》以及有關(guān)等級保護(hù)工作的要求落實網(wǎng)絡(luò)安全保護(hù)主體責(zé)任。
此外,該網(wǎng)站服務(wù)器安全防護(hù)措施不足,存在被多個境外 IP 攻擊入侵的情況。對于明顯存在的數(shù)據(jù)安全風(fēng)險,涉案公司未采取數(shù)據(jù)加密等有效的技術(shù)保護(hù)措施,來確保其儲存的信息安全,導(dǎo)致約 22 萬條個人信息數(shù)據(jù)被掛在境外論壇售賣。
更為可恨的是,該公司發(fā)現(xiàn)個人信息泄露后未及時告知用戶,也未主動向公安機(jī)關(guān)報告,并且還存在網(wǎng)絡(luò)日志留存不足 6 個月及相關(guān)安全管理制度缺失等問題。
對此,北海公安機(jī)關(guān)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條的規(guī)定(網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意,不得向他人提供個人信息。但經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時,應(yīng)當(dāng)立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。)對涉案公司及其直接負(fù)責(zé)人分別作出罰款 20 萬元、3 萬元的行政處罰。
違規(guī)泄露政府?dāng)?shù)據(jù),一企業(yè)被罰 100 萬
2023 年 3 月,浙江某科技有限公司為浙江某縣級市政府部門開發(fā)運維信息管理系統(tǒng)的過程中,在未經(jīng)建設(shè)單位同意的情況下,將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至自身租用的公有云服務(wù)器上,且未采取安全保護(hù)措施,造成了嚴(yán)重的數(shù)據(jù)泄露。
浙江溫州公安機(jī)關(guān)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定,對公司及項目主管人員、直接責(zé)任人員分別作出罰款 100 萬元、8 萬元、6 萬元的行政處罰。
值得一提是,本案不僅處罰了數(shù)據(jù)泄露引起方,還連累了甲方建設(shè)單位。最終,該單位因失管失察、未履行數(shù)據(jù)安全保護(hù)職責(zé)的情況,當(dāng)?shù)丶o(jì)委監(jiān)委依照《溫州市黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實施細(xì)則》規(guī)定,對建設(shè)單位主要負(fù)責(zé)同志、部門負(fù)責(zé)人等 4 人分別作出批評教育、誡勉談話和政務(wù)立案調(diào)查等追究問責(zé)決定。
基于數(shù)據(jù)安全的重要性,國內(nèi)不僅對造成數(shù)據(jù)泄露的主體加大處罰力度,對于沒有盡到自身數(shù)據(jù)保護(hù)義務(wù)的實體組織,也加大監(jiān)管力度。
泰州某企業(yè)未履行關(guān)鍵數(shù)據(jù)保護(hù),被處罰 5 萬元
數(shù)據(jù)合規(guī)問題曾發(fā)生過一起典型案件,江蘇泰州公安網(wǎng)安部門發(fā)現(xiàn)當(dāng)?shù)啬巢粍赢a(chǎn)登記中心的“業(yè)務(wù)練兵系統(tǒng)”存在 Elasticsearch 未授權(quán)訪問安全漏洞,且未建立全流程數(shù)據(jù)安全管理制度,未落實有效的數(shù)據(jù)安全防護(hù)措施,可致該系統(tǒng)中存儲的 24 萬余條業(yè)務(wù)數(shù)據(jù)泄露,涉嫌未履行數(shù)據(jù)安全保護(hù)義務(wù)。
查獲案件詳情后,泰州公安機(jī)關(guān)依據(jù)《數(shù)據(jù)安全法》第 45 條規(guī)定,對該不動產(chǎn)登記中心予以行政警告并責(zé)令改正,對該系統(tǒng)的建設(shè)運維單位北京某科技發(fā)展研究中心予以行政警告并處罰款 5 萬元。
某軟件公司未履行數(shù)據(jù)安全保護(hù)義務(wù),存在數(shù)據(jù)泄露風(fēng)險隱患被罰 5 萬元
2023 年 6 月,北京市公安局昌平分局警務(wù)支援大隊工作發(fā)現(xiàn)北京速跑軟件有限公司研發(fā)的“某數(shù)據(jù)分析系統(tǒng)”存在數(shù)據(jù)泄露隱患。
經(jīng)過仔細(xì)排查,公安部門發(fā)現(xiàn)該公司研發(fā)的“數(shù)據(jù)分析系統(tǒng)”內(nèi)存有用戶敏感數(shù)據(jù),經(jīng)進(jìn)一步核實查驗,該系統(tǒng)內(nèi)數(shù)據(jù)信息未采用加密措施,系統(tǒng)服務(wù)器未采取任何網(wǎng)絡(luò)防護(hù)措施和技術(shù)防護(hù)措施,造成 19.1 GB個人敏感信息暴露在互聯(lián)網(wǎng)。
隨著調(diào)查深入,公安機(jī)關(guān)還獲悉該公司未曾制定數(shù)據(jù)安全管理制度、未充分落實網(wǎng)絡(luò)安全等級保護(hù)制度。最終,北京市公安局昌平分局根據(jù)《中華人民共和國數(shù)據(jù)安全法》第二十七條、第四十五條第一款的規(guī)定,給予該企業(yè)警告,并處罰款 5 萬元,責(zé)令限期改正。
山東某信息科技有限公司不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)案
2023 年 7 月,濟(jì)南網(wǎng)安在巡查中發(fā)現(xiàn)山東某信息科技有限公司主機(jī)疑似數(shù)據(jù)被竊取。經(jīng)現(xiàn)場取證,該公司涉事主機(jī) 3306 端口開放 Mysql 數(shù)據(jù)庫服務(wù),存在未授權(quán)訪問漏洞,導(dǎo)致數(shù)據(jù)庫被拖庫,查明該公司存在未采取防范網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施,未留存監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)的網(wǎng)絡(luò)日志信息等違法情形,致使數(shù)據(jù)庫被拖庫造成數(shù)據(jù)泄露。公安機(jī)關(guān)依法對該公司及具體運維人員予以行政處罰
浙江農(nóng)商聯(lián)合銀行被罰 380 萬
7 月 14 日,國家金融監(jiān)督管理總局發(fā)布的行政處罰信息顯示浙江農(nóng)商聯(lián)合銀行存在 11 項主要違法違規(guī)行為,依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》第四十六條第一項、第三項、第五項;《中華人民共和國商業(yè)銀行法》第七十五條第二項,被銀保監(jiān)會浙江監(jiān)管局罰款 380 萬。其中很重要的一條就是數(shù)據(jù)安全管理缺失。
株洲某軟件學(xué)校網(wǎng)站致使學(xué)生數(shù)據(jù)存在暴露風(fēng)險
2023 年 3月,株洲市公安局荷塘分局網(wǎng)安大隊接株洲市網(wǎng)絡(luò)與信息安全信息通報中心通報,株洲某軟件學(xué)校網(wǎng)站存在短文件名泄露漏洞。經(jīng)網(wǎng)安大隊檢查發(fā)現(xiàn),該網(wǎng)站系統(tǒng)中存在大量學(xué)生姓名、身份證號、電話號碼、家庭住址等敏感信息。
針對該學(xué)校未對前述數(shù)據(jù)采取應(yīng)有的技術(shù)保護(hù)措施,未履行數(shù)據(jù)安全保護(hù)義務(wù),存在數(shù)據(jù)泄露風(fēng)險的現(xiàn)象。株洲市公安局荷塘分局根據(jù)《數(shù)據(jù)安全法》第 45 條第一款,給予該學(xué)校警告,并責(zé)令限期改正。
湖南長沙某公司存在數(shù)據(jù)泄露風(fēng)險,被罰 5 萬元
2023 年 2 月,湖南省長沙市公安局岳麓分局網(wǎng)安部門工作發(fā)現(xiàn)轄區(qū)內(nèi)某電商平臺存在數(shù)據(jù)泄露的隱患,迅速組織專業(yè)技術(shù)人員調(diào)取該公司日志并約談單位相關(guān)責(zé)任人員。經(jīng)查,該企業(yè)服務(wù)器存在未授權(quán)訪問漏洞,用戶隱私數(shù)據(jù)存在泄露風(fēng)險。
通過進(jìn)一步核實,該企業(yè)未制定數(shù)據(jù)安全管理制度、未充分落實網(wǎng)絡(luò)安全等級保護(hù)制度。最后,長沙市公安局岳麓分局根據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條第一款之規(guī)定,給予該企業(yè)警告,并處罰款 5 萬元,對直接責(zé)任人處罰款 1 萬元,責(zé)令限期改正。
物業(yè)公司存在信息泄露風(fēng)險,被責(zé)令限期更改
湖南省永州市東安縣公安局網(wǎng)安部門在查辦一起侵犯公民個人信息案件時發(fā)現(xiàn)某小區(qū)業(yè)主信息泄露線索,隨即對小區(qū)所屬物業(yè)公司發(fā)起“一案雙查”經(jīng)查,該公司使用的人臉識別系統(tǒng)、車輛管理系統(tǒng)中明文存有 6000 余名業(yè)主姓名、電話、身份證號、銀行賬戶等敏感數(shù)據(jù)信息。
同時,人臉識別系統(tǒng)、車輛管理系統(tǒng)均存在登錄賬號弱口令,賬號未設(shè)置權(quán)限管理,存放用戶數(shù)據(jù)的辦公電腦使用向日葵遠(yuǎn)程控制軟件進(jìn)行操作,且未采取任何安全防護(hù)措施,未履行數(shù)據(jù)安全保護(hù)義務(wù)。永州東安縣公安局依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條第一款之規(guī)定,給予該公司警告,并責(zé)令限期改正。
國內(nèi)數(shù)據(jù)合規(guī)趨嚴(yán),企業(yè)數(shù)據(jù)監(jiān)管壓力增長
從上述案例不難看出,數(shù)據(jù)泄露問題已經(jīng)滲透到政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施、金融業(yè)、農(nóng)業(yè)、工業(yè)、教育機(jī)構(gòu)、醫(yī)療等社會各個行業(yè)。令人擔(dān)憂的是,根據(jù)相關(guān)機(jī)構(gòu)發(fā)布的數(shù)泄露研究報告顯示,近一半的數(shù)據(jù)泄露事件會發(fā)生二次泄露,造成直接和潛在的損失達(dá)到萬億美元級,并威脅到數(shù)十億人的數(shù)據(jù)信息安全。
認(rèn)識到數(shù)據(jù)是國家重要資產(chǎn)和戰(zhàn)略資源,數(shù)據(jù)安全就是國家安全這一共識后,國內(nèi)相關(guān)機(jī)構(gòu)為防范數(shù)據(jù)泄露和濫用,逐步加強(qiáng)對數(shù)據(jù)傳輸?shù)谋O(jiān)管、限制敏感數(shù)據(jù)的出境、要求重點數(shù)據(jù)存儲在國內(nèi),對于涉及國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施和核心技術(shù)的數(shù)據(jù)安全,開始進(jìn)行更加嚴(yán)格、全面的安全審查。
再加上相繼推出的《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國個人信息保護(hù)法》、《數(shù)據(jù)安全法》等“上位法”中都明確對個人數(shù)據(jù)和重要數(shù)據(jù)的保護(hù)要求,規(guī)定了企業(yè)在數(shù)據(jù)處理和存儲方面的責(zé)任和義務(wù)。
這些法律法規(guī)在宣傳和強(qiáng)調(diào)數(shù)據(jù)安全重要性的同時,同樣也在督促社會機(jī)構(gòu)建立其健全的數(shù)據(jù)安全管理制度和技術(shù)保障措施。簡單來說,基于目前數(shù)據(jù)合規(guī)法律法規(guī)框架的要求,組織需要制定合規(guī)的個人信息保護(hù)政策和措施,確保用戶數(shù)據(jù)的安全和隱私安全。
與此同時,對內(nèi)還需對員工(這一點尤為重要,許多數(shù)據(jù)泄漏的主要原因就是內(nèi)部員工數(shù)據(jù)保護(hù)意識淡薄)、合作伙伴等內(nèi)部人員的數(shù)據(jù)進(jìn)行合理管理和保護(hù),建立健全的安全漏洞管理和事件應(yīng)對機(jī)制,及時發(fā)現(xiàn)和修復(fù)內(nèi)部的安全漏洞,有效應(yīng)對數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全事件,防止數(shù)據(jù)被惡意利用或泄露。
對于涉及跨境數(shù)據(jù)傳輸?shù)膶嶓w組織,以及涉及關(guān)鍵領(lǐng)域的企業(yè)需要經(jīng)過國家安全審查,確保其數(shù)據(jù)處理和存儲不會對國家安全造成風(fēng)險,這要求其加強(qiáng)內(nèi)部安全管理,遵守相關(guān)規(guī)定,轉(zhuǎn)變數(shù)據(jù)使用思維,從“一味利用數(shù)據(jù)”,轉(zhuǎn)變到“合理善用數(shù)據(jù)”,積極配合國家對于數(shù)據(jù)安全保護(hù)的整體方針。
總體而言,在國內(nèi)數(shù)據(jù)安全監(jiān)管趨勢越來越嚴(yán)格,數(shù)據(jù)處理不當(dāng)處罰越來越重的整體環(huán)境下,實體組織要做好數(shù)據(jù)安全管理,確保數(shù)據(jù)的合法、安全和穩(wěn)定運營,牢記一旦違反國家核心數(shù)據(jù)管理制度,危害國家主權(quán)、安全和發(fā)展利益的,輕則根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,構(gòu)成犯罪的,依法追究刑事責(zé)任。
