来源:数达安全
仅供学习!如有侵权,请联系删除!
1 前言
随着数字经济成为世界经济发展的新动力,推动数据量的高速增长,数据安全风险也在同步激增。同时传统的犯罪类型也借助新型技术不断形成新的变种,在侵犯数据权益的同时,对社会公共利益乃至国家安全也造成严重威胁。同时,随着《中华人民共和国数据安全法》(下文简称为《数据安全法》)的生效,不仅极大地保护了国家、社会和公民的数据安全,也表明了国家治理数据安全的决心。本文基于数安法实施近两年来,被公开作出行政处罚的典型案例32起,从不同维度对案例进行了分析总结。
2 数据安全处罚事件逐年升高,
2023年呈爆发式增长
通过对近两年数据安全事件发生的时间进行汇总,2021年共发生5起,2022年共发生6起,2023年到目前为止已发生21起。相比前两年,2023年呈爆发式增长。并且2023年每个月都有处罚案例,在3月和4月分别达到5起和8起。说明随着《数据安全法》实施和相关配套体系的完善,相关部门正加大执法力度和频度。
3 互联网行业是发生数据安全
处罚事件的重灾区
从行业分布来看数据安全处罚事件涉及互联网、医疗、金融等行业,其中互联网行业作为重灾区发生了10起数据安全处罚事件,占比32%。其中某些处罚是多对家单位的合并处罚,共包含了上百家运营主体。
4 未建立相应技术措施
和管理制度为主要原因
通过对所有数据安全处罚事件进行归因分析,发现未对数据采取相应的技术保护措施和管理制度的占比为66%。原因是大多数企业或组织对于数据安全的认知和重视性不足,投入较少,存在侥幸心理。
5 涉及问题分类
可将所有违法行为和其对应的问题进总结归类为四类问题。
其中数据保护义务的问题多达28起,数据安全应急处置问题以及数据风险评估和监测的问题分别有3起,数据交易的安全问题2起。
6 违反法规
通过对所有数据安全法处罚案例的总结,违反的法规条目主要有《数据安全法》第二十七条、二十九条、三十一条、三十二条、三十三条、三十五条、四十条。
将上述表格可视化展示如下:
7 处罚依据
通过对所有数据安全法处罚案例的总结,处罚的法规条目主要有《数据安全法》第四十五条、四十六条、四十七条、四十九条。
将上述表格可视化展示如下:
8 对企业处罚金额最高达80.26亿元,
对个人处罚最严重为刑拘
根据《数据安全法》对处罚的金额进行分析,可以发现金额跨度从几万到几十亿不等,且出现了“类案不同罚”的情况。这说明行政机关虽然是依据法律规定在法定处罚范围内作出处罚决定,但是行政机关在行使自由裁量权时遵循过罚相当原则,在全面衡量案件的综合情况的基础上决定处罚数额。
根据处罚详情进行汇总,有21例处罚为0-10万或未披露处罚金额,占比66%,且都进行了行政处罚“给予警告,并责令限期改正”;已查明造成数据泄露或其他后果的数据安全事件罚款为10万至100万,共6例,占比19%;有1例数据安全事件对社会和国家造成极大危害,对其罚款高达80.26亿,占比3%。
其中,在上海某公司向境外出售高铁数据的事件中,由于上海某公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,且经国家安全机关调查,这家境外公司长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。所以,依据《中华人民共和国数据安全法》、《中华人民共和国刑法》、《中华人民共和国无线电管理条例》等法律法规对上海某公司的销售总监、销售及法定代表人执行逮捕。
9 处罚案例多发生在华中地区
从区域来看,处罚案例最多的是华中地区,共14例,占比44%;华东地区共10例,占比31%;华南地区共5例,占比16%;华北、西北及西南地区各1例,占比皆为3%;而东北地区未发生因数据安全导致的处罚事件。
10 总结
通过以上报告分析可得,目前数据安全在我国仍面临较大的挑战,各企业和个人的数据安全意识不足,造成数据安全保护技术和管理上都有漏洞。同时,外部攻击也越来越组织化、体系化。
分析中还发现,对于不少公开的数据安全泄露事件,并没有公开处理结果。公开的这些案例中,大多数为未落实数据安全保护义务造成,虽未发生严重后果,但也给予了我们足够的警示。各企业或组织需尽快落实数据保护义务,防止重大数据安全事件发生,避免遭受处罚。
Copyright © 2005-2021 网信安全世界版权所有