2023Q3七大数据安全典型事件汇总

截止2023年年9月，仅江苏公安已累计依据《数据安全法》办理行政案件336起。由此可见，数据安全合规建设对企业而言仍然是需要尽快解决的难题，数据处理者应当加强数据安全保护力度，落实国家总体安全观，切实履行数据安全保护义务，构建数据安全管理制度，维护国家安全和社会稳定。

以下针对2023年7-9月发生的数据安全典型事件进行汇总说明：

案例1、浦发银行郑州分行存在5项违法行为被罚90.8万

人民银行河南省分行发布的行政处罚信息显示，浦发银行郑州分行存在5项违法行为，包括：未按规定履行客户身份识别义务；与身份不明的客户进行交易；违反人民币流通管理规定；违反征信安全管理规定；违反金融产品和服务信息披露管理规定。网安部门根据《中华人民共和国数据安全法》作出人民币90.8万元罚款的处罚。

案例2、南昌某高校3万余条师生个人信息被罚80万

南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖，包括教职工信息、学生信息、缴费信息等。南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定，对该学校作出责令改正、警告并处80万元人民币罚款的处罚，对主要责任人作出人民币5万元罚款的处罚。


案例3、广西公安对北海某网站售卖个人信息数据罚款20万元

广西北海公安发现北海某网站存在数据泄露问题，网站约22万个人信息数据被挂在境外论坛售卖。涉案公司网站在日常工作中收集了个人和企业等大量公民信息，服务器安全防护措施不足，仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御，网站存在被多个境外IP攻击入侵的情况，未采取数据加密等有效的技术保护措施，且在发现公司发生个人信息泄露的情况下，未及时告知用户和主动向公安机关报告。根据《网络安全法》第四十二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。

案例4、三乡公安对某信息科技公司存在数据泄露隐患罚款5万元

2023年7月，三乡公安分局鹤湾派出所在对辖区内的公司进行数据安全检查过程中，发现一家信息科技公司疑似存在网络数据泄露隐患。通过询问相关责任人、调取网络设备日志信息、开展技术检测等方式，鹤湾派出所发现该公司在没有依法建立数据安全管理制度和操作规程等数据保护措施的前提下，对存储的公民敏感信息数据未采取去标识化和加密保护。依据《数据安全法》第27条、第45条，三乡公安分局对该公司处以警告以及罚款5万元的行政处罚，对该公司负责人作出罚款1万元的行政处罚。

案例5、重庆市网信办查处违反《数据安全法》案件

重庆市网信办依据《数据安全法》对属地一科技公司作出责令限期改正，给予行政警告，并处10万元罚款的行政处罚。经查该公司因业务开展，收集、存储、处理的网络数据量较大，但未建立健全全流程网络数据安全管理制度，未组织开展网络数据安全教育培训，未采取相应的技术措施，保障网络数据安全等数据安全保护义务，且存在数据库数据泄露的情形。


案例6、上海某政务信息系统技术服务公司因泄露公民个人信息被行政处罚

上海市互联网信息办公室公布一起行政处罚案件。上海市某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间，相关存储端存在高危漏洞，导致大量公民数据泄露，以致成为境外不法分子窃取政务数据的“供应链”入口，相关公民个人信息在境外黑客论坛被披露兜售。上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查，并对该公司作出行政处罚。


案例7、国家网信办对中国知网依法作出网络安全审查相关行政处罚

9月1日，国家网信办对中国知网依法作出网络安全审查相关行政处罚，经查，知网（CNKI）主要三家运营主体运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规，对知网（CNKI）依法作出责令停止违法处理个人信息行为，并处人民币5000万元罚款的行政处罚。



★ 为助力相关单位合法合规、安全高效的数据安全管理体系，加快数据安全专业人才的培养，中科至善分别开展相关课程，包括CISP-DSG注册数据安全治理专业人员、CISP-DSO 国家注册信息安全人员-数据安全官、CCRC-DSO数据安全官、CCRC-DSA数据安全评估师、CCRC-PIPP（个人信息保护专业人员）、CCRC-PIPA（个人信息保护评估师）、CCRC-DCO（数据合规官）、CCRC-CDO（首席数据官）。

多详情致电咨询：191 4105 6590 或扫码添加微信获取更多资料。