2023 年数据泄露频发,数据安全进入法治化强监管时代
2023年,各行各业数字化转型持续深入,因系统漏洞、外部攻击、内部威胁、主体责任缺失等导致各类数据泄露事件频发,数据要素的价值红利凸显。个人信息、敏感资产等数据泄露造成的影响严重而深远。数据安全逐渐进入法律监管强有力的时代。安全419对2023年国内数据泄露、监管、执法情况进行了总结和回顾,再次重申了数据安全的重要性和必要性。这不仅是数据处理者必须履行的确保合规的义务,而且与业务发展、企业利益和声誉、社会稳定乃至国家安全息息相关。
2023年数据安全和个人信息保护的监管变化
《网络安全法》、《数据安全法》、《个人防护法》作为安全领域的顶级“三驾马车”,对数据安全和个人信息保护提出了明确的合规方案。观察2023年的实际监管情况,安全419发现,监管向规范化、程序化、科学化方向发展的趋势持续清晰明朗。
6月1日起施行的《网信部门行政执法程序规定》,作为协调行政部门依据数据安全法执法程序的标准,进一步规范和保障网信部门依法履行职责。依法履行职责。细化到工业和信息化领域,《工业和信息化行政处罚程序规定》于9月1日起实施,为数据安全执法活动提供了规范的监管标准。
此外,年初发布的《工业和信息化部行政执法事项清单(2022年版)》涉及数据安全领域15项、个人信息保护领域4项,行政处罚、行政检查共计数十项。年底,据此制定了《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》,进一步细化行政处罚措施的裁量权和适用规则。
近日,《网络安全事件报告管理办法(征求意见稿)》发布,明确重要数据泄露、被盗,对国家安全和社会稳定构成特别重大威胁/严重威胁,或者泄露个人信息1亿人/1000万以上。可以区分为“特别重大网络安全事件”/“重大网络安全事件”的信息应当在1小时内报告。
综上所述,数据安全监管已趋常态化,监管责任体系日趋完善。过去的一些空白和模糊地带正在逐渐被填补。
从主体上看,基本原则始终注重发展与安全协调。通过完善事前评估和审查机制以及事后报告和响应流程,我们尽力避免数据泄露事件发生的可能性,同时将数据泄露的影响保持在可控范围内。里面。
在程序上,对于有意无意侵犯数据所有者主权和利益、未履行数据保护义务的主体,将在明确的自由裁量标准基础上,采取适当的级联处罚措施,加强监督管理。
2023年国家重大数据安全和个人信息泄露事件
根据安全419不完全统计,选取2023年公开报道并公开的较为典型的数据泄露相关安全事件及处罚案例。由此,我们可以立体地感受到数据泄露情况的严重性,以及监管先例的程序和力度。
12月,北京市人民检察院发布了北京市检察机关维护网络安全典型案例。419选取了其中两个涉及数据安全的案例。
通过“删除数据库”破坏公司财务系统
https://www.cune.com.cn/ueditor/php/upload/image/20200428/1588042515117486.jpg
某科技公司的数据库管理员因工作原因对公司不满。他利用权限删除了系统中的金融数据及相关应用,并在作案后删除了相关数据的痕迹。公司花费18万元恢复上述数据并重建系统。一审认定该员工犯有破坏计算机信息系统罪,判处其有期徒刑七年。驳回被告上诉,维持原判。
通过“暗网交易”非法买卖公民个人信息
李某某通过“暗网”买卖大学生、银行客户、保险客户、网购用户等特定公民群体的个人信息超过900万条,涉及全国20多个省市。国家。法院判决李某某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币11万元。同时,李某某被判在全国媒体上向公众公开道歉,并删除其非法持有的公民信息。个人信息数据,并支付10万元以上赔偿金。
12月,重庆渝中区某科技公司开发运营的OA系统未履行网络数据安全保护义务,导致大量数据泄露,情况严重。国家网信办依法责令该公司五日内改正,给予行政警告,并处以10万元行政处罚。
去年12月,北京一家互联网公司因撞库事件遭到黑客攻击。某招聘APP短信验证码接口被攻击次数超过1300万次。与此同时,该团伙长期采用类似手段渗透其他各大网站,伺机发现网站漏洞。他们以此为诱饵,向他人出售他们编写的恶意程序。他们长期在境外网站盗取、出售通过撞库非法获取的大量公民个人信息。公司帐户数据。最终,犯罪团伙全部被抓获,现场查获各类企业和人员数据超过330万条。
11月,温州某大型药店的一名数据分析师利用工作之便,导出大量交易数据并在暗网上出售。温州市网络安全调查发现,该药店未建立健全全流程数据安全管理体系,未组织数据安全教育培训,未采取相应技术措施等必要措施保障数据安全。该员工因涉嫌侵犯公民个人信息罪被刑事拘留,案件正在进一步办理中。该药店被罚款110万元,对直接负责的主管人员并处罚款10万元。
11月,济南不少新生儿家长接到“上门摄影”推销电话。经调查,营销公司法人联系了两名朋友。两人利用职务便利,潜入单位系统,查询获取了一些孕妇、新生儿的信息,并以每人5元的价格出售。共查获纸质新生儿信息2000余份。电子版有6万多个。专案组梳理了家政、月子保姆、孕育等其他向该公司提供各类公民个人信息的网络机构,抓获犯罪嫌疑人9名。随后,系统监管单位给予行政警告并责令整改。对其开发、运维公司给予行政警告、罚款5万元并责令改正。对该公司驻站直接负责人崔某建给予行政警告,并处罚款1万元。 。
11月,国内某能源集团的相关数据被黑客在暗网上以50个比特币拍卖。从黑客公布的样本截图来看,泄露的数据涵盖了财务数据、设计图纸、员工信息等,属于非常敏感的信息。
11月,大江生物医药集团被曝大量数据泄露,主要包括客户投诉数据、SQL备份(HR库、CRM库、其他库)、财务数据(支付、报表、审计等)、业务部门数据(订单、产品配方、实验室测试、包装等)、美国部门数据(网络设置、审核供应商、员工数据等)、客户数据(订单、混合、产品配方、实验室测试、包装、邮件等),总大小236.3 GB,包含104,001个文件。
10月,据国家安全部消息,今年以来,国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项管理,查处了多名涉外气象探测人员。境外气象设备代理商10家,考察涉外气象站3000余个。经查,数百个非法涉外气象探测站向境外实时传输气象数据,广泛分布于全国20多个省份,对国家安全构成潜在风险。
10月,福建厦门某培训机构系统遭“黑客”非法入侵,近两万条个人信息泄露,学员甚至遭遇精准诈骗。警方依据《互联网安全法》对教育培训机构处以1万元罚款,对直接负责的主管人员处5000元行政处罚。
10月,北京网信办对3家未按照《数据安全法》规定履行数据安全保护义务的企业作出行政处罚。经核实,这3家公司部署的数据库存在未授权访问漏洞,导致部分数据泄露。国家网信办责令这3家公司改正,给予警告,并给予5万元行政处罚,对直接主管人员和其他责任人员处1万元罚款。
以上为2023年第四季度典型数据泄露事件列表,请点击查看:
2023 年数据安全相关执法统计数据一览
https://pic3.zhimg.com/v2-c71d98c1daa044de303cb34931f8d236_r.jpg
此外,安全419还整理了2023年各地执法部门上报的数据安全执法阶段性成果或报告,从数据层面体现:
数据泄露是众多系统漏洞、攻击活动、误操作以及未能履行合规义务的直接结果;涉及数据类型、侵权形式多样,公民个人信息权益保护和敏感数据资产保护仍面临严峻挑战;督查持续补缺,专项行动、一案双查等措施落实到位;公民维权意识明显增强,相关诉讼案件增多。
11月,北京高院发布《审理侵犯公民个人信息犯罪白皮书》,对近五年来全市法院审结的侵犯公民个人信息犯罪案件进行分析。
2018年以来,共审结侵犯公民个人信息一、二审案件229件,2023年案件数量将出现反弹,呈现案件频发的趋势。
处罚一般较轻。 2018年以来,判处五年以下有期徒刑的被告人比例约为98.7%,重刑率较低;缓刑申请率约为14.6%。约83.2%的被告人被判处10万元以下罚款。
涉案公民个人信息类型中,涉及人身财产安全的信息占据突出比例;案件涉及的信息要素中,手机号码、身份证件占比最大;涉案公民个人信息量日益庞大; 50%的案件被告人身份相对固定。工作场所或职业。
11月,公安部通报称,全国公安机关持续开展“净化网络”系列专项行动,全面打击黑客犯罪,取得整体成效。 2022年以来,全国公安机关共破获黑客犯罪案件2430起,抓获犯罪嫌疑人7092人。 2023年第三季度,公安机关共办理网络与数据安全行政案件1.4万件,其中86%是网络运营者未履行网络安全保护义务的案件。
11月,2023年第三季度金融业监管数据处罚分析发布。人民银行三季度共开出数据罚款85笔,罚款金额48.2亿元;国家金融监管总局三季度共开出数据罚款340起,罚款金额28.7亿元。在中国人民银行和国家金融监管总局发布的数据罚款处罚中,数据合规罚款数量增速最高。数据使用、数据采集、数据查询是数据合规性检查的重点。
11月,北京互联网法院通报个人信息保护案件审理情况。 2018年以来,共受理涉及个人信息保护案件58起,互联网企业为主要被告。
诉讼涉及的信息种类繁多,既有法律法规列出的手机号码、身份证号码、行踪信息,也有大量法律未明确列出的信息,如视频浏览记录、职业经历等。信息、交易信息、位置信息等。包括面部信息等敏感个人信息。
引起个人信息纠纷的场景涉及数字经济的多个领域。例如,金融公司信息泄露导致电信诈骗风险、在线教育APP强行收集用户个人信息进行用户画像、电商平台频繁给用户打电话等。此外,一些企业将用户信息制作成数据包,开发数据产品提供给他人,造成侵权风险。
一些企业采取线下收集、线上处理、线下与线上混合多主体处理、关联企业联合处理等方式,体现了涉诉个人信息处理活动的多主体、多形式融合。一系列新型个人信息纠纷已进入诉讼阶段,例如死者个人信息的处理、提供复制信息的访问权限等。
西西
安全419编辑部
页:
[1]