随着各行业的数字化转型持续深入，数据安全逐步进入法制化的强监管时代。但是因人为攻击、技术漏洞、监管缺位等造成的各类数据泄露事件频发，企业数据安全威胁日益严峻。“数据泄露”就像网络世界的新冠病毒一样在全世界肆虐，不断冲击企业及国家的安全防线。

以下是敏捷科技对2023上半年国内的数据安全处罚事件的总结回顾，希望借此为正在数字化转型中的企业敲响警钟，深刻意识到数据安全与企业利益、社会稳定及国家安全息息相关，各行各业亟需建立合法合规、稳定高效的数据安全防护体系！

2月，厦门市公安局网安支队成功打掉一个集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙，破获某公司被侵犯公民个人信息案。 据悉该黑客团伙通过攻击厦门一科技公司系统，非法获取公民个人信息百万余条并出售，非法获利约40万元。

2月，湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据，存在数据泄露风险。经查，该公司服务器短时间内存在大量登录失败，被恶意用户暴力破解账户密码痕迹。同时，服务器内安装的ElasticSearch软件，可通过互联网在无需账号密码条件下直接访问系统内敏感数据。公安局给予该企业警告，并责令限期改正。

3月，湖南省怀化市沅陵县公安局网安部门通过工作发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。经查，该公司办公电脑未设置开机密码，缴费系统账号密码均为弱口令，并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。公安局给予该企业警告，并责令限期改正。

3月，浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题。浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

4月，江西某股份有限公司因履行数据安全保护义务不到位导致OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序，并且在开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定，对江西某股份有限公司处以警告、罚款50万元，对直接负责的主管人员处以罚款5万元的行政处罚。

4月，新安县公安局网安部门调查发现新安县经济技术开发区某平台上线运行后未关闭免登录访问漏洞，存在重大网络安全隐患，导致平台数据泄漏。4月7日，警方依据《中华人民共和国网络安全法》第59条第一款，对新安县某区处以行政警告并责令整改；依据《中华人民共和国数据安全法》第27、45条，对该公司处以行政警告并处罚款20万元的处罚，并责令其对存在问题进行整改。

4月，茶陵县公安局网安大队在进行日常网络安全检查工作中发现，茶陵县某医院的医疗管理系统存储着大量患者的姓名、身份证号、电话号码、家庭住址等敏感信息，该医院未建立数据安全管理制度，未采取任何的安全防护措施，未履行数据安全保护义务，存在数据泄露风险。茶陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该医院警告，并责令限期改正。

5月，太湖县公安局网安大队、经济开发区派出所民警在对太湖县某房地产公司进行数据安全检查过程中，发现该公司数据安全意识淡薄，未建立数据安全管理制度和操作规程，未对员工开展数据安全教育培训，未对采集到的居民个人信息采取加密措施。同时，该公司未明确数据安全负责人和管理机构，对存放业主用户数据的办公电脑未采取任何安全防护措施，未采取必要技术措施保障公司数据安全，未履行数据安全保护义务，导致大量数据信息面临泄露的重大风险。太湖县公安局对该公司未履行数据安全保护义务的违法行为，依法处以警告并对直接责任人员处罚款人民币1万元的行政处罚。

6月，国家金融监督管理总局发布的行政处罚信息显示，柳州银行南宁分行存在“员工行为管理不到位”、“违规泄露有权部门查询信息”等主要违法违规行为，依据《中华人民共和国银行业监督管理法》第四十六条第（五）项、第四十八条第（二）项，被广西银保监局处以罚款30万元，该员工则被警告。

6月，衡阳网信部门在数据安全领域开出的首张“罚单”。衡南县某医院未履行数据安全保护义务，造成部分数据泄露，违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定，对该医院作出责令整改，给予警告，并处罚款5万元的行政处罚。同时，对第三方技术公司及相关责任人处以1.2万元罚款。

上述安全事件的处罚大多是依据2021年9月1日正式施行的《数据安全法》中的第二十七条和第四十五条。

第二十七条

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第四十五条

开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；

拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

通过对安全事件的总结，结合自身在数据安全领域的攻坚与实践，敏捷科技对数字化转型中的企业数据安全防护与统一管理提出以下几个建议：

>>> 数据存储强制加密
使用数据加密技术手段对所有内部终端进行加密管控，保证图纸、文档等敏感数据在创建、存储、传输、使用和销毁的全生命周期始终都处于加密状态，保证内部文件始终以密文状态存储，从源头杜绝数据安全风险。

>>> 业务系统落地加密

对于内部业务系统（OA、ERP、PLM等）存储的敏感数据（基建设施信息、客户个人信息等）下载到电脑终端时自动加密。并且脱离加密环境不可读、不可用。可以在外出办公、跨境办公、居家办公等外部场景下实现对内部数据的安全保障。

>>> 涉密文件外发管控

在协同设计、协同生产等场景下，对需要通过正常渠道流通的涉密文件，通过设置分层多级的外发审核流程，确保对外发数据的管控与记录，通过审核之后转成明文的文件也可以进行权限设置来保证除接收方外不会发生二次泄密。

>>> 快速定位溯源审计
通过文件水印、屏幕水印等手段对每一份信息产品的归属提供完全和可靠的证据，有效实现泄密文件的溯源。在安全事件发生后，审计部门也能在捕获到文件后，第一时间定位泄密源头，保障企业权益。

>>> 三分技术七分管理

强化数据安全管理制度的制定与执行，从制度与管理层面加强数据安全的管控。进行数据安全教育讲座、政策宣贯等，定期进行员工安全意识培训和应急方案演练。

2023年一季度，伴随着国家数据局的设立，必将全力拉动数据要素市场和数据安全等产业的快速发展。而层出不穷的数据泄露事件也为各行业领域敲响警钟。

当前，数据安全在我国仍面临较大的挑战，数据处理者应当加强数据安全保护力度，落实国家总体安全观，切实履行数据安全保护义务，构建数据安全管理制度，维护国家安全和社会稳定。

★ 为助力更多企业建设合法合规、统一高效的数据安全防护体系，敏捷科技计划开展数据安全与数据管理系列“公益培训”，请有意向的相关单位及企业扫描下方敏捷小助手二维码与我们联系获取更多活动细节~

新闻资讯均来源于网络，由敏捷科技整理汇总