2022年度行业典型重大网络安全处罚事件盘点
中科至善 2023-03-29
随着网络安全法、数据安全法、个人信息保护法等安全法规的相继出台和施行,2022年对网络安全违规事件的处罚力度也不断创下新高,如滴滴因威胁关键基础设施安全被处罚80亿元人民币、建行上海市分行因信息安全等问题被罚50万且责任人被禁业10年、Meta因泄露5.33亿用户数据收到2.65亿欧元罚单。
数据泄露等重大网络安全事件往往是对历史错误的不断重复。因此,以史为鉴,可以帮助我们从过去的数据泄露事件中吸取宝贵经验教训。以下为2022年度部分重大网络安全处罚事件,供大家参考借鉴,敲响警钟。
1、滴滴违反网络安全法规被罚80.26亿元人民币
7月21日,国家互联网信息办公室对滴滴处以人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。据国家网信办通报,滴滴公司违反《网络安全法》(2017年6月实施)、《数据安全法》(2021年9月实施)、《个人信息保护法》(2021年11月实施)的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。
经查明,滴滴公司共存在16项违法事实。根据国家网信办通报,滴滴公司还存在严重影响国家安全的数据处理活动,拒不履行监管要求,给国家关键信息基础设施安全带来严重安全风险隐患。
2、建行因信息安全等问题被罚50万 责任人被禁业10年
2022年7月28日,上海银保监局对建行上海市分行开出1张罚单。行政处罚信息显示,中国建设银行上海市分行因在2018年4月至2018年10月,存在信息安全和员工行为管理严重违反审慎经营规则,被责令改正,并被罚款50万元。
3、T-Mobile为数据泄露事件支付3.5亿美元
8月初,美国移动通信巨头T-Mobile同意支付2021年大规模数据泄露事件后的索赔、法律费用和管理费用,共计支付3.5亿美元。该数据泄露事件暴露了估计7600万人的个人信息,包括客户名称,社会保险号,电话号码,地址和出生日期。除向受影响客户的现金支付外,T-Mobile还同意投资1.5亿美元来加强其数据安全。
4、湖南网信部门开出数据安全领域行政执法罚单
2022年11月19日,在湖南省网信办的指导下,湘西州网信办依法对湘西州某县自来水公司作出行政处罚。这是《湖南省网络安全和信息化条例》自今年1月1日起正式施行以来,湖南网信部门开出的首张罚单。
该县自来水公司缴费系统因未采取相应防护措施履行数据安全保护义务,违反《湖南省网络安全和信息化条例》。湘西州网信办依据规定,对该县自来水公司予以警告和责令整改,并对公司法人作出罚款的行政处罚。该自来水公司负责人表示,真诚接受行政处罚,并按要求全面整改。
5、因敏感数据存泄露风险、外包管理不当、瞒报事件,盘锦银行银行被罚140万
11月4日,据辽宁银保监局发布的89号行政处罚决定书显示,盘锦银行因存在监管要求落实严重不到位、敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等违法违规行为,被罚140万元。
6、违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚
某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。
某公司窃取2.1亿条简历数据
2022年曝出的多起引发广泛关注的数据泄露、非法收集和使用个人数据信息事件,无疑给各行业和单位敲响了警钟。维护网络安全、保护数据安全等应是公司业务发展的核心要素之一,数据防泄露安全合规是企业生存发展的必然选择。
数据泄露等重大网络安全事件往往是对历史错误的不断重复。因此,以史为鉴,可以帮助我们从过去的数据泄露事件中吸取宝贵经验教训。以下为2022年度部分重大网络安全处罚事件,供大家参考借鉴,敲响警钟。
| 2022年度部分重大网络安全事件处罚盘点 | ||
| 主体 | 罚金 | 起因 |
| 滴滴 | 80.26亿美元 | 违反《网络安全法》《数据安全法》《个人信息保护法》严重影响国家安全的故据处理活动,拒不履行监管要求,给国家关健信息基础设旄安全带来严重安全风险隐惠 |
| 美团 | 34.42亿元 | 泾用在中国境内网咯餐饮外卖平台服务市场的业配地位,以实施差别费率、拖延商东上线等方式,促使平台内商左与其签订独家合作协议,并通过收取独家合作保证金和数据、算法等技术手段,平取多种惩罚性措睡,保障“二选一行为实施,排除、限制了相关市场竞争,妨碍了市场资源要素白由流动,削弱平台创新动力和发展活力,损吉平台内商家和消费者的合法权签 |
| 建行上海市分行 | 50万 | 在信息安全和员工行为管理严讳反审慎经营规则 |
| 盘棉垠行 | 140万 | 敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等围淞违规行为 |
| 湘西州某自来水公司 | 未披露 | 皱费系统因未采取相应防护措拖履行数据安全保护义务,违反《湖南省网络安全和信息化条例 |
| 某科技公司 | 5万元 | 在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障教据安全,导致数据存在泄露风险 |
| Cosmote | 600万欧元 | 在数冠泄露事件后违反数据保护法 |
| Clearview Al | 2000万欧元 | 收集赢大利用户生物特征 |
| OPM | 6300万美元 | 遭遇国家黑客组织攻击,导致了近2200万人的个人数据泄露 |
| T-Mobile | 3.5亿美元 | 大规模数据泄露事件,暴露了估计7600万人的个人信息,包括客户名称,社会保险号,电话号码,地址和出生日期 |
| 摩根士丹利 | 3500万美元 | 未能安全更换公司使盘驱动器和服务器导致了大约1500万客户的个人数据泄露 |
| 2.25亿欧元 | 未能履行GDPR透明度义务 | |
| Solarwinds | 2600万美元 | 软件供应链攻击,影响了全球数干名Solarwinds的客户,包括网络安全公司FireEye和多个关国政府机构 |
| Meta | 2.65亿欧元 | 泄露5.33亿用户数据 |
| chegg | 无 | 发生了四次数据泄露,大约4000万名户和员工暴露了个人信息 |
| 西班牙沃达丰 | 394万欧元 | 未能采取适当的安全措拖以防止SIM卡欺诈复制 |
| Dedalus Biologie | 150万欧元 | 数据泄露事件中暴露了近50万人的健康信等铋保护测评 |
1、滴滴违反网络安全法规被罚80.26亿元人民币
7月21日,国家互联网信息办公室对滴滴处以人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。据国家网信办通报,滴滴公司违反《网络安全法》(2017年6月实施)、《数据安全法》(2021年9月实施)、《个人信息保护法》(2021年11月实施)的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。
经查明,滴滴公司共存在16项违法事实。根据国家网信办通报,滴滴公司还存在严重影响国家安全的数据处理活动,拒不履行监管要求,给国家关键信息基础设施安全带来严重安全风险隐患。
2、建行因信息安全等问题被罚50万 责任人被禁业10年
2022年7月28日,上海银保监局对建行上海市分行开出1张罚单。行政处罚信息显示,中国建设银行上海市分行因在2018年4月至2018年10月,存在信息安全和员工行为管理严重违反审慎经营规则,被责令改正,并被罚款50万元。
3、T-Mobile为数据泄露事件支付3.5亿美元
8月初,美国移动通信巨头T-Mobile同意支付2021年大规模数据泄露事件后的索赔、法律费用和管理费用,共计支付3.5亿美元。该数据泄露事件暴露了估计7600万人的个人信息,包括客户名称,社会保险号,电话号码,地址和出生日期。除向受影响客户的现金支付外,T-Mobile还同意投资1.5亿美元来加强其数据安全。
4、湖南网信部门开出数据安全领域行政执法罚单
2022年11月19日,在湖南省网信办的指导下,湘西州网信办依法对湘西州某县自来水公司作出行政处罚。这是《湖南省网络安全和信息化条例》自今年1月1日起正式施行以来,湖南网信部门开出的首张罚单。
该县自来水公司缴费系统因未采取相应防护措施履行数据安全保护义务,违反《湖南省网络安全和信息化条例》。湘西州网信办依据规定,对该县自来水公司予以警告和责令整改,并对公司法人作出罚款的行政处罚。该自来水公司负责人表示,真诚接受行政处罚,并按要求全面整改。
5、因敏感数据存泄露风险、外包管理不当、瞒报事件,盘锦银行银行被罚140万
11月4日,据辽宁银保监局发布的89号行政处罚决定书显示,盘锦银行因存在监管要求落实严重不到位、敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等违法违规行为,被罚140万元。
6、违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚
某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。
某公司窃取2.1亿条简历数据
2月8日,北京某科技公司组建专门爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据,获取2.1亿余条个人信息。
我国互联网持续遭受境外网络攻击
中国国家互联网应急中心检测发现,在2月下旬,中国互联网不断遭到来自境外的网络攻击,境外组织以此在中国控制计算机,然后对俄罗斯,乌克兰和白俄罗斯发动网络攻击。经过分析,这些攻击地址主要来自美国。
国内上市公司邮箱遭入侵,被骗2千余万元
4月初,大亚圣象全资子公司圣象集团有限公司下属子公司美国HomeLegendLLC公司遭遇邮箱入侵,入侵者侵入了该公司租用的微软公司365邮箱系统,伪造假电子邮件、供应商文件及邮件路径,被盗356.9万美元,大亚圣象表示该笔资金被追回的可能性极低。
北京健康宝遭到网络攻击
4月28日,北京健康宝在使用高峰期间,遭受到网络攻击。经初步分析,网络攻击源头来自境外。北京健康宝保障团队进行了及时有效应对,受攻击期间北京健康宝相关服务未受影响。在北京冬奥会、冬残奥会期间北京健康宝也曾遭受过类似网络攻击,均得到了有效处置。
随申码4千多万用户数据遭泄露8月,上海随申码数据库或泄露,4850万用户的数据,包括用户姓名、手机号码、身份证号、随申码的颜色、UUID(通用唯一识别码),在暗网以4000美元价格拍卖。
国内多家医院数据被窃
8月底,据北京市朝阳区人民检察院裁定,2020年至2021年,刘某、姜某某、吴某某在多家国内医院内,多次通过技术手段秘密接入医院内网数据库,获取大量药品编码、数量、金额、单位等药品数据后出售,违法所得人民币200余万元。
国内40多家金融机构数据被窃
9月,国内一“黑客”利用木马病毒非法控制逾2000台计算机,入侵40多家国内金融机构的内网交易数据库,非法获取交易指令和多条内幕信息,进行相关股票交易牟利,非法所得人民币183.57万元。
西工大邮件系统遭境外组织入侵
9月据官方通报,西工大被境外组织攻击事件,系美国国家安全局所为,该局针对西北工业大学的网络攻击,使用了41种不同的专属网络攻击武器,攻击链路多达1100余条,仅后门工具“狡诈异端犯”就有14款不同版本。持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
香港3家香格里拉酒店29万客户信息泄露
10月初,据香港媒体报道,香格里拉酒店集团的网络系统受到黑客攻击,其中3家位于中国香港,造成香港酒店29万个人资料泄露。香港安全专家表示:通过技术分析,黑客可能通过传送电邮,在超链接中加入“钓鱼程式”,窃取酒店系统内的资料。
国内医疗机构10万条数据遭窃取
10月,经国内网警侦破,麻某利用自身黑客技术,在2022年4月侵入国内某医疗机构微信公众号系统窃取数据,半年多时间非法获取该计算机系统数据10万余条,而后在境外黑客论坛兜售,非法获利1500美元。
平安人寿泄露4万条公民信息11月底,据公开的裁判文书显示,平安人寿六盘水中心支公司内部人员利用职务之便泄露客户信息被处罚,多名涉事人员判处有期徒刑。涉案的公民信息高达4万余条。
台湾2300万公民信息泄露
11月初,据台媒报道,台湾地区政府系统遭黑客入侵,黑客在国外论坛公开出售2300万中国台湾民众数据,打包价5000万美元。
蔚来汽车用户数据遭大量泄露
12月11日,蔚来汽车确认,因服务器配置错误导致百万条用户信息泄露,并遭受225万美元等额比特币的勒索。蔚来创始人、董事长、首席执行官李斌就数据泄露一事公开致歉。
2022年曝出的多起引发广泛关注的数据泄露、非法收集和使用个人数据信息事件,无疑给各行业和单位敲响了警钟。维护网络安全、保护数据安全等应是公司业务发展的核心要素之一,数据防泄露安全合规是企业生存发展的必然选择。
