中华人民共和国数据安全法
收集与数据安全有关的处罚案例,可以通过学习和了解这些案例避免出现与这些被处罚企业相同的问题。
广州某公司开发的“驾培平台”
2022年2月
5万元
2022年2月,在开展广州民生实事“个人信息超范围采集整治治理”专项工作中,广州警方检查发现,广州某公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。 根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。
某电商平台
2023年2月
5万元
2023年2月,湖南省长沙市公安局岳麓分局网安部门工作发现,辖区某电商平台存在数据泄露隐患,迅速组织专业技术人员调取日志并约谈单位相关责任人员。 经查,该企业服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。通过进一步核实,该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。 长沙市公安局岳麓分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款五万元,对直接责任人处罚款一万元,责令限期改正。
某商旅服务公司
2023年2月
警告
2023年2月,湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据,存在数据泄露风险。
经查,该公司服务器短时间内存在大量登录失败,被恶意用户暴力破解账户密码痕迹。同时,服务器内安装的ElasticSearch软件,可通过互联网在无需账号密码条件下直接访问系统内敏感数据。
湘潭市公安局岳塘分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并责令限期改正。
滴滴
2022年7月
80.26亿元
滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条,“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。 处罚金80.26亿元。
浙江某科技有限公司
2023年3月
114万元
2023年3月,浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题。浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。针对建设单位失管失察、未履行数据安全保护职责的情况,当地纪委监委依照《温州市党委(党组)网络安全工作责任制实施细则》规定,对建设单位主要负责同志、部门负责人等4人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。下一步,公安机关将持续贯彻落实《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规,全方位加强网络安全监督检查,持续高压严打违法行为,指导监督网络运营者依法履行安全保护责任和义务,做好源头防控,减少违法犯罪发生,坚决维护国家网络安全和数据安全。
宿迁某医学检验机构
2023年8月
10万元
江苏宿迁公安网安部门对当地某医学检验机构检查时发现,该机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。
宿迁公安机关依据《数据安全法》第45条规定,对该机构予以行政警告并处罚款10万元。
成都某科技有限公司
2023年8月
5万元
江苏苏州公安网安部门工作发现,成都某科技有限公司在为苏州某信息科技股份有限公司相关系统运维过程中,未建立健全全流程数据安全管理制度,为图工作方便,私自将该公司30余万条运营数据上传至互联网,且未落实任何技术防护措施保障数据安全,未对其数据处理活动开展风险监测,可致该批数据泄露,涉嫌未履行数据安全保护义务。
苏州公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并处罚款5万元。
泰州某不动产登记中心
和北京某科技发展研究中心
2023年8月
5万元
江苏泰州公安网安部门工作发现,当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞,且未建立健全全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的24万余条业务数据泄露,涉嫌未履行数据安全保护义务。
泰州公安机关依据《数据安全法》第45条规定,对该不动产登记中心予以行政警告并责令改正;对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
盐城某医药公司
2023年8月
行政警告并责令限期改正
江苏盐城公安网安部门在对当地某医药公司检查时发现,该公司医疗健康信息的会员管理系统存有大量公民个人信息,经现场检测发现该系统存在网络安全漏洞,且该公司未建立数据安全管理制度,未组织开展数据安全教育培训,也未采取相应技术措施保障数据安全,涉嫌未履行数据安全保护义务。
盐城公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。
南通某科技有限公司
2023年8月
行政警告并责令限期改正
江苏南通公安网安部门对当地某科技有限公司检查时发现,该公司对包含生产工艺流程、操作手册、员工个人信息等数据的MySQL数据库(数据量达百万条),未建立数据安全管理制度,也未采取相应技术措施保障数据安全,并且存在使用“弱口令”即可登录平台、访问数据的情况,涉嫌未履行数据安全保护义务。
南通公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。
最后更新于