2021年
案例1: 2021年11月,针对人民群众反映强烈的App非法获取、超范围收集、过度索取权限等侵害公民个人信息的违法违规现象,海南省互联网信息办公室组织对省内用户量大、与民众生活密切相关的“民生宝”“快速问医生”等7款App收集使用个人信息情况进行了技术检测,检测结果显示这7款App均存在不同程度违法违规收集使用个人信息的行为。
海南省互联网信息办公室要求各App运营单位应将加强公民个人信息保护作为履行全面依法治国的实践要求,切实保障人民群众个人信息安全和合法权益不受侵犯,定期组织运营人员学习《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规。针对检测发现的问题,各平台运营主体应于通报发布之日起15个工作日内完成整改。
案例2: 2021年12月,针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息并存在引起个人信息泄露的安全漏洞的问题,浙江省App违法违规收集使用个人信息专项治理工作组依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定,组织对实用工具类、网络社区类、网上购物类等常见类型且公众大量使用的部分App的个人信息收集使用情况进行检测,并对闪修侠等87款App进行点对点通报,责令违规App限期整改。
案例3: 2021年12月31日首例涉及高铁运行安全的危害国家安全类案件,该案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,所涉及的是企业在数据处理过程中很可能会忽视的国家安全问题。上海某信息科技公司接受一境外公司委托,在对方规定的北京、上海等16个城市及相应高铁线路上采集了我国铁路信号数据(包括物联网、蜂窝和高铁移动通信专网敏感信号等数据),并在数据采集设备上为该境外公司开通了远程登录端口,方便境外公司实时获取对应的测试数据。经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号。GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报。
2022年
案例4: 2022年1月28日,违法行为人韦某乘坐飞机(航班号HU7375)从广东深圳直达广西百色巴马机场,后由韦某堂哥韦建锋开车到巴马机场接送韦某回到田阳区田州镇万和新城小区居住,公安民警向韦某了解情况时,韦某却瞒报行程轨迹信息,后被公安民警查实。根据《数据安全法》第三十五条之规定,拟对违法行为人韦某处以罚款二百元的处罚。
《数据安全法》第三十五条规定,“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”《数据安全法》是我国首次从立法层面规定了国家机关的数据调取权和公民的配合调取义务。公民具有配合数据调取的义务,应当及时向公安机关和国家安全机关提供必要的工作支持与协助,降低国家机关的调查成本,以便国家安全工作的顺利进行。企业和个人拒不配合数据调取的,根据《数据安全法》第四十八条的规定,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
案例5: 2022年2月,在开展广州民生实事“个人信息超范围采集整治治理”专项工作中,广州警方检查发现,广州某公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。根据《中华人民共和国数据安全法》第二十七条,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚。
案例6: 2022年2月,部分App违反必要原则,收集与其提供服务无关的个人信息,未经同意向他人提供个人信息,存在引起个人信息泄露的安全漏洞的问题,浙江省App违法违规收集使用个人信息专项治理工作组依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定,组织对实用工具类、网上购物类等常见类型且公众大量使用的100款App个人信息收集使用情况进行检测,并对微记账等38款App进行点对点通报,责令违规App限期整改。
案例7: 2022年5月,枣庄网警在执法检查中发现,某公司自建收费系统,通过公众号采集公民个人信息,存储在第三方云平台上,但对采集的数据未采取安全防护技术措施,未依法履行网络安全保护义务。枣庄市台儿庄网警根据《中华人民共和国数据安全法》第二十七条第一款、第四十五条第一款之规定,对该公司予以行政警告处罚,并责令改正。这是山东省办理的首起适用《数据安全法》的行政处罚案件。
案例8: 上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。
2023年
案例9: 2023年2月,湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据,存在数据泄露风险。经查,该公司服务器短时间内存在大量登录失败,被恶意用户暴力破解账户密码痕迹。同时,服务器内安装的ElasticSearch软件,可通过互联网在无需账号密码条件下直接访问系统内敏感数据。湘潭市公安局岳塘分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并责令限期改正。
案例10: 2月24日,岳麓公安分局网络安全保卫大队民警在开展网络安全现场监督检查时,发现辖区一家信息科技公司疑似存在网络数据泄露隐患,迅速组织专业技术人员调取系统日志并约谈相关涉事人员。经查,该公司相关服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。经过进一步核实,该公司未制定数据安全管理制度、未开展等级保护备案工作,严重违反了《中华人民共和国数据安全法》第二十七条、第二十九条规定。3月6日,岳麓公安分局网络安全保卫大队依据《中华人民共和国数据安全法》第四十五条规定,给予该公司行政警告,并处罚款五万元。该公司负责人表示接受处罚,并将严格按照公安机关要求整改,切实履行网络安全主体责任。
案例11: 2023年3月,湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件中发现某小区业主信息泄露线索,随即对小区所属物业公司发起“一案双查”。经查,该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息。同时,人脸识别系统、车辆管理系统均存在登录账号弱口令,账号未设置权限管理,存放用户数据的办公电脑使用向日葵远程控制软件进行操作,且未采取任何安全防护措施,未履行数据安全保护义务。永州东安县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该公司警告,并责令限期改正。
案例12: 2023年3月,湖南省怀化市沅陵县公安局网安部门通过工作发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。经查,该公司办公电脑未设置开机密码,缴费系统账号密码均为弱口令,并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。怀化沅陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并责令限期改正。
案例13: 2023年,麻阳苗族自治县公安局网安大队在日常网络安全监督检查中发现某商贸公司未建立健全全流程数据安全管理制度,未组织开展数据安全培训,且该公司服务器内存有大量客户敏感数据,包括姓名、身份证号码、手机号码等信息,该公司未对敏感数据采取相应的技术保护措施,未履行数据安全保护义务。根据《数据安全法》的有关规定,麻阳公安对该公司未履行数据安全保护义务的违法行为,依法予以行政处罚。
案例14: 2023年3月10日,株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某软件学校网站存在短文件名泄露漏洞。经网安大队检查发现,该网站系统中存在大量学生姓名、身份证号、电话号码、家庭住址等敏感信息,该学校未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,存在数据泄露风险。株洲市公安局荷塘分局根据《数据安全法》第四十五条第一款之规定,给予该学校警告,并责令限期改正。
案例15: 2023年3月11日,株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某医院网站被篡改植入暗链,经网安大队检查发现,该医院管理平台日志系统中存储客户敏感数据,包括姓名、性别、身份证号、用药情况等敏感信息,该医院未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,存在数据泄露风险。株洲市公安局荷塘分局根据《数据安全法》第四十五条第一款之规定,给予该医院警告,并责令限期改正。
案例16: 2023年3月,浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题。浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》国家标准支撑《数据安全法》落地实施一周年第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。
案例17: 3月13日,邵东市公安局网络安全保卫大队民警对辖区单位开展网络安全和数据安全检查,在检查中发现某二类专科医院和某疫苗接种门诊没有制定数据安全管理制度和操作规程,没有对单位员工开展正规的数据安全教育培训,没有采取任何防篡改、防泄漏、防侵入等技术措施,没有对采集到的居民个人信息采取去标识化和加密措施,系统存在弱口令密码等严重数据安全隐患,均违反了《中华人民共和国数据安全法》第二十七条之规定。
根据《中华人民共和国数据安全法》第四十五条之规定,邵东市公安局对未履行数据安全保护义务的这两家单位依法予以行政警告处罚,两家单位负责人均表示接受处罚并且立即按要求整改到位,邵东警方将继续为数据安全治理作出积极探索和实践。
案例18: 2023年4月3日,新安县公安局网安部门接上级下发线索:新安县经济技术开发区某平台数据库疑似发生数据泄漏事件。我局网安部门在市局的现场指导下立即对该公司进行了相关检查,调查发现该平台上线运行后未关闭免登录访问漏洞,存在重大网络安全隐患,导致平台数据泄漏。4月7日,警方依据《中华人民共和国网络安全法》第59条第一款,对新安县某区处以行政警告并责令整改;依据《中华人民共和国数据安全法》第27、45条,对该公司处以行政警告并处罚款20万元的处罚,并责令其对存在问题进行整改。
案例19: 2023年4月4日09时许,绥宁县公安局在工作中发现:XX乡XX村XX快递二楼成立一家催收公司,名称为XX达通仁信息技术咨询有限公司,法人代表张X,该公司在没有要求提供合法资质的情况下,审核交易双方的身份,在催收的过程中通过天眼查、小蓝本、钉钉等软件非法获取债务人的信息,获取信息后也没有存档,违反《中华人民共和国数据安全法》第三十三条、第四十七条之规定,对XX达通仁信息技术咨询有限公司和其法人代表张X予以行政处罚。
案例20: 2023年4月13日,分局网安大队、隆湖派出所在案件办理中发现,犯罪嫌疑人刘某某等三人在大武口区隆湖某通讯店内,先后办理了14张手机卡,全部提供给境外犯罪分子用于电信网络诈骗,分局网安大队快速反应,严查刘某某等三人异常的办卡行为。经询问,该通讯店在未询问办卡原由的情况下,就给刘某某等三人办理了14张手机卡用于违法犯罪活动。依据公安部“一案双查”的要求,网安大队对该通讯店进行突击检查,发现其存在办公电脑未设置开机密码、未设置建立数据安全管理制度和未组织数据安全教育培训等违法行为,违反了《中华人民共和国数据安全法》第二十七条、第四十五条第一款之规定,对该通讯店以未落实数据安全保护责任移交隆湖派出所进行处理,对其予以行政警告处罚,责令限期整改。
案例21: 2023年4月20日,茶陵县公安局网安大队在进行日常网络安全检查工作中发现,茶陵县某医院的医疗管理系统存储着大量患者的姓名、身份证号、电话号码、家庭住址等敏感信息,该医院未建立数据安全管理制度,未采取任何的安全防护措施,未履行数据安全保护义务,存在数据泄露风险。茶陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该医院警告,并责令限期改正。
案例22: 2023年4月21日,株洲市公安局天元分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某医院网站存在跨站脚本漏洞,经网安大队检查发现,该院未按照《中华人民共和国数据安全法》规定,及时落实数据安全管理制度,开展数据处理活动,未及时加强风险检测,存在数据泄露风险。株洲市公安局天元分局根据《中华人民共和国数据安全法》第二十七条、第二十九条、第四十五条之规定,给予该医院警告,并责令限期改正。
案例23: 全南县公安局网安大队在开展网络和数据安全监督检查时,发现某公司疑似存在网络数据泄露隐患。随即,全南网警组织人员调取相关信息并约谈涉案人员。经查,该公司相关服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。同时,未落实数据安全保护责任,未开展等级保护备案工作,相关数据安全保护规章制度形同虚设。该公司严重违反了《中华人民共和国数据安全法》第二十七条、第二十九条规定。2023年4月21日,全南县公安局根据《中华人民共和国数据安全法》第二十七条、第四十五条之规定,给予该公司行政警告处罚,并责令限期整改。
案例24: 近日,江西省南昌市网信办,对履行数据安全保护义务不到位,未履行风险监测、补救处置等义务的公司,作出行政处罚,罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。罚款50万元,是网信办依据《数据安全法》 第四十五条,就该公司数据安全违法行为作出的顶格处罚!
案例25 2023年05月30日,溆浦县公安局西湖派出所民警在对溆浦县XX手机店、XX移动专营店等被处罚单位进行网络安全检查时发现,该店自2023年1月以来,将新开卡客户姓名、 身份证号、手机号码等敏感信息资料数据文档储存在店内未设置开机屏保密码的互联网电脑桌面上,且对该敏感信息资料数据文档未采取单独加设密码等相应的技术保护措施,存在泄漏风险。根据《中华人民共和国数据安全法》第二十七条第一款、第四十五条第一款之规定,对溆浦县XX手机店予以行政处罚。
案例26: 国家金融监督管理总局6月5日发布的行政处罚信息显示,柳州银行南宁分行存在“员工行为管理不到位”“黄明喆违规泄露有权部门查询信息”等主要违法违规行为,依据《中华人民共和国银行业监督管理法》第四十六条第(五)项、第四十八条第(二)项,被广西银保监局处以罚款30万元,该员工则被警告。
数据安全在我国仍面临较大的挑战,数据处理者应当加强数据安全保护力度,落实国家总体安全观,切实履行数据安全保护义务,构建数据安全管理制度,维护国家安全和社会稳定。