最高罚款100万！2023年数据安全法执法案例精选分享

案例一

2023年3月，浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题。

浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。

浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

针对建设单位失管失察、未履行数据安全保护职责的情况，当地纪委监委依照《温州市党委（党组）网络安全工作责任制实施细则》规定，对建设单位主要负责同志、部门负责人等4人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。

案例二

2023年2月，湖南省长沙市公安局岳麓分局网安部门工作发现，辖区某电商平台存在数据泄露隐患，迅速组织专业技术人员调取日志并约谈单位相关责任人员。

经查，该企业服务器存在未授权访问漏洞，用户隐私数据存在泄露风险。通过进一步核实，该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。

长沙市公安局岳麓分局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该企业警告，并处罚款五万元，对直接责任人处罚款一万元，责令限期改正。

案例三

2023年2月，湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据，存在数据泄露风险。

经查，该公司服务器短时间内存在大量登录失败，被恶意用户暴力破解账户密码痕迹。同时，服务器内安装的ElasticSearch软件，可通过互联网在无需账号密码条件下直接访问系统内敏感数据。

湘潭市公安局岳塘分局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该企业警告，并责令限期改正。

案例四

2023年3月，湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件中发现某小区业主信息泄露线索，随即对小区所属物业公司发起“一案双查”。

经查，该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息。

同时，人脸识别系统、车辆管理系统均存在登录账号弱口令,账号未设置权限管理，存放用户数据的办公电脑使用向日葵远程控制软件进行操作，且未采取任何安全防护措施，未履行数据安全保护义务。

永州东安县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该公司警告，并责令限期改正。

案例五

2023年3月，湖南省怀化市沅陵县公安局网安部门通过工作发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。

经查，该公司办公电脑未设置开机密码，缴费系统账号密码均为弱口令，并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。

怀化沅陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该企业警告，并责令限期改正。

案例六

2023年4月13日，接上级网信部门通报，江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒，主机存在受控的风险。当日，南昌市互联网信息办公室决定立案调查并派执法人员开展案件调查工作。经过现场勘验、抽样取证、远程勘验（样本技术分析）、笔录问询等程序，查明：

①该公司的OA系统和服务器内存储了大量敏感数据，但该公司履行数据安全保护义务不到位，OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序，相关行为违反了《中华人民共和国数据安全法》第二十七条规定；②该公司开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。

2023年5月30日，南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定，对江西某股份有限公司处以警告、罚款50万元，对直接负责的主管人员处以罚款5万元的行政处罚。

案例七

5月24日，太湖警方查处了该县首起违反《中华人民共和国数据安全法》的行政案件,对涉案公司依法处以行政警告,并对直接责任人员处罚款1万元。

5月16日，太湖县公安局网安大队、经济开发区派出所民警在对太湖县某房地产公司进行数据安全检查过程中，发现该公司数据安全意识淡薄，未建立数据安全管理制度和操作规程，未对员工开展数据安全教育培训，未对采集到的居民个人信息采取加密措施。同时，该公司未明确数据安全负责人和管理机构，对存放业主用户数据的办公电脑未采取任何安全防护措施，未采取必要技术措施保障公司数据安全，未履行数据安全保护义务，导致大量数据信息面临泄露的重大风险。

根据《中华人民共和国数据安全法》的有关规定，太湖县公安局对该公司未履行数据安全保护义务的违法行为，依法处以警告并对直接责任人员处罚款人民币1万元的行政处罚。

案例八

3月13日，邵东市网信办和市公安局网络安全保卫大队民警对辖区单位开展网络安全和数据安全检查时，发现辖区内两家单位疑似存在数据泄露风险。经查，两家单位没有制定数据安全管理制度和操作规程，没有对单位员工开展正规的数据安全教育培训，没有采取任何防篡改、防泄漏、防侵入等技术措施，用户个人信息数据存在泄露风险。

根据《中华人民共和国数据安全法》第四十五条和《湖南省网络安全和信息化条例》第二十六条、三十三条、第五十五条之规定，邵东市网信办联合市公安局对未履行数据安全保护义务的这两家单位负责人进行约谈，对两家单位依法予以行政警告处罚，要求切实履行主体责任，及时清理处置网络安全隐患。两家单位负责人均表示接受处罚并且立即按要求整改到位。

来源：网络新闻