2022年网络安全事件处罚盘点 — vulsee.com

2月，希腊最大的移动运营商Cosmote因在数据泄露事件后违反数据保护法被希腊数据保护局（HDPA）罚款600万欧元。2020年该公司受到网络攻击，480万客户个人数据被盗。监督机构发现，Cosmote没有将其母公司OTE Group包括在调查中，也没有实施足够的数据保护政策和程序。OTE集团还因缺乏适当的安全措施导致订户呼叫数据泄漏而被罚款325万欧元。

意大利隐私保护（GPDP）对Clearview AI处以2000万欧元罚款，控诉其未经同意对用户的生物特征进行监控收集。此监控项目始于去年2月，共收集100亿份人脸数据，其中大量是在线收集的意大利用户信息。GPDP发现违规行为后，发出2000万欧元罚单，并勒令Clearview删除意大利用户数据，Clearview则辩解称20年3月与意大利的服务就已中断，此事与他们无关，并对欧洲IP进行屏蔽。

美国个人管理办公室（OPM）是一家为联邦政府雇员提供人力资源的联邦机构，2015年，OPM披露遭遇一系列国家黑客组织攻击，导致了近2200万人的个人数据泄露。7月5日，OPM同意为上述近十年前发生的数据泄露事件支付6300万美元。众议院委员会对OPM黑客攻击事件进行的调查显示，OPM最早的已知数据泄露发生在2013年11月，该机构的系统至少自2005年以来很容易受到黑客袭击。该报告还指出，数据泄露是一种（安全）文化缺失和领导失败的结果。

7月21日，国家互联网信息办公室对滴滴处以人民币80.26亿元罚款，对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。据国家网信办通报，滴滴公司违反《网络安全法》（2017年6月实施）、《数据安全法》（2021年9月实施）、《个人信息保护法》（2021年11月实施）的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。

经查明，滴滴公司共存在16项违法事实。根据国家网信办通报，滴滴公司还存在严重影响国家安全的数据处理活动，拒不履行监管要求，给国家关键信息基础设施安全带来严重安全风险隐患。

2022年7月28日，上海银保监局对建行上海市分行开出1张罚单。行政处罚信息显示，中国建设银行上海市分行因在2018年4月至2018年10月，存在信息安全和员工行为管理严重违反审慎经营规则，被责令改正，并被罚款50万元。

8月初，美国移动通信巨头T-Mobile同意支付2021年大规模数据泄露事件后的索赔、法律费用和管理费用，共计支付3.5亿美元。该数据泄露事件暴露了估计7600万人的个人信息，包括客户名称，社会保险号，电话号码，地址和出生日期。除向受影响客户的现金支付外，T-Mobile还同意投资1.5亿美元来加强其数据安全。

9月，跨国银行业务巨头摩根士丹利因未能安全更换公司硬盘驱动器和服务器而被SEC罚款3500万美元，该事件导致了大约1500万客户的个人数据泄露。从2015年开始的五年中，该银行不当处理了数千份包含个人身份信息（PII）的设备，并且在互联网拍卖网站上的第三方转售了一些设备，但未检查设备中的客户数据是否已删除。摩根士丹利为该事件的罚款和数据安全诉讼赔偿总计支付了大约1.2亿美元。

WhatsApp因未能履行GDPR透明度义务而被爱尔兰数据保护委员会(DPC)处以创纪录的2.25亿欧元罚款。此外还进行了谴责和“命令WhatsApp通过采取一系列特定的补救措施使其处理合规”。

2018年以来，美团滥用在中国境内网络餐饮外卖平台服务市场的支配地位，以实施差别费率、拖延商家上线等方式，促使平台内商家与其签订独家合作协议，并通过收取独家合作保证金和数据、算法等技术手段，采取多种惩罚性措施，保障“二选一”行为实施，排除、限制了相关市场竞争，妨碍了市场资源要素自由流动，削弱平台创新动力和发展活力，损害平台内商家和消费者的合法权益，构成《反垄断法》第十七条第一款第（四）项禁止“没有正当理由，限定交易相对人只能与其进行交易”的滥用市场支配地位行为。

根据《反垄断法》第四十七条、第四十九条规定，综合考虑美团违法行为的性质、程度和持续时间等因素，2021年10月8日，市场监管总局依法作出行政处罚决定，责令美团停止违法行为，全额退还独家合作保证金12.89亿元，并处以其2020年中国境内销售额1147.48亿元3%的罚款，计34.42亿元。

根据10月28日美国SEC公布的文件，总部位于美国的IT管理解决方案提供商Solarwinds与软件供应链攻击受害者的集体诉讼达成和解协议，将支付2600万美元。

这次攻击影响了全球数千名Solarwinds的客户，包括网络安全公司FireEye和多个美国政府机构，例如国土安全部和财政部。美国政府将黑客归因于俄罗斯军事黑客。和解协议仍然需要得到法院的批准。除此之外，Solarwinds还因“网络安全披露和公共声明及其内部控制和披露控制和程序”面临联邦当局的执法行动。

2021年4月14日，5.33亿Facebook用户的数据被发布在一个著名的黑客论坛，暴露的数据包括个人信息，例如手机号码、Facebook ID、姓名、性别、位置、关系状态、职业、出生日期和电子邮件地址。爱尔兰数据保护委员会(DPC)对Meta启动了GDPR违规调查，被罚款2.65亿欧元。

2022年11月19日，在湖南省网信办的指导下，湘西州网信办依法对湘西州某县自来水公司作出行政处罚。这是《湖南省网络安全和信息化条例》自今年1月1日起正式施行以来，湖南网信部门开出的首张罚单。

该县自来水公司缴费系统因未采取相应防护措施履行数据安全保护义务，违反《湖南省网络安全和信息化条例》。湘西州网信办依据规定，对该县自来水公司予以警告和责令整改，并对公司法人作出罚款的行政处罚。该自来水公司负责人表示，真诚接受行政处罚，并按要求全面整改。

11月4日，据辽宁银保监局发布的89号行政处罚决定书显示，盘锦银行因存在监管要求落实严重不到位、敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等违法违规行为，被罚140万元。

某科技公司在处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。

美国联邦贸易委员会（SEC）就LAX数据安全实践提出了对教育技术供应商Chegg的投诉。自2017年以来，该公司发生了四次数据泄露，大约4000万客户和员工暴露了个人信息。Chegg在2017年9月首次遭到入侵，源于针对多名员工的钓鱼攻击；2018年4月，某前承包商使用登录信息访问了包含数百万用户数据的存储桶；一年后，Chegg某高管的凭据在一次钓鱼攻击中被盗导致数据泄露；又过了12个月，另一名Chegg员工遭到钓鱼攻击。

FTC投诉称，这些泄露事件都是若干不良的数据安全实践的结果。FTC要求Chegg加强其数据安全性，限制其可以收集和保留的数据，为用户提供多因素身份验证以保护其帐户，并允许用户访问和删除其数据。

继2021年因不当处理个人数据被西班牙数据保护局（AEPD）罚款815万欧元后，2022年西班牙移动电信运营商沃达丰（VodafoneEspaña）西班牙再次接到AEPD 394万欧元的罚单，理由是未能采取适当的安全措施以防止SIM卡欺诈复制（SIM交换）。AEPD发现沃达丰采取的安全措施不足，并且该公司没有实施有效的GDPR合规性和管理模型来最大程度地减少身份盗用的风险。

法国公司Dedalus Biologie是一家医学分析实验室软件解决方案提供商，其客户涉及约3000个私人医学生物学实验室、30到50个公共卫生机构的分析实验室。该公司在2021年的数据泄露事件中暴露了近50万人的健康信息。经法国数据保护局（CNIL）调查，Dedalus作为数据处理者违反了GDPR规定的多项义务，特别是个人数据安全保护义务。CNIL下设处罚机构审查委员会根据Dedalus的营业额以及违规行为的严重程度，最终于2022年4月15日对其作出罚款150万欧元的处罚决定。