数据安全行政处罚案例盘点:物业管理、信息技术、零售业占比高

2023年广东省网络安全宣传周将于9月11日至17日举行。《中华人民共和国数据安全法》（以下简称《数据安全法》）自2021年9月1日起正式施行。截至2023年8月31日，南都大数据研究院通过各地行政执法公示平台、媒体报道等公开渠道收集到146起依据《数据安全法》作出行政处罚决定的案例。梳理发现，物业管理行业成数据安全行政处罚“重灾区”；超七成涉事单位被查出未采取措施保障数据安全，所幸大部分案例尚未造成实质性危害后果；目前执法部门处罚方式以警告、责令改正为主，当确实发生数据泄露事件或构成其他严重后果时才作罚款或逮捕处理。

执法频率：2023年来公示案例数量大增

对146起数据安全行政处罚案例进行梳理，可以发现网信、公安、通信管理等部门都对数据安全领域开展过相关执法。从公示时间来看，2021年公示5起，2022年公示11起，2023年至今已公示130起。相比前两年，2023年的案例公示数量呈爆发式增长，且每个月都有执法案例公开。可以看出，随着《数据安全法》实施和相关配套体系的完善，相关部门正加大执法力度和频率。

　行业分布：物业管理、信息技术和零售业占比多

从行业分布来看，已公开的数据安全行政处罚案例涉及物业管理、信息技术、零售、医疗、教育、餐饮等多个行业。其中物业管理行业占比最高，有32起公示案例；其次是信息技术和零售业。

梳理相关行政处罚决定内容可以发现，绝大部分物业公司是在接受公安机关日常检查时，被发现办公室电脑以明文形式存放业主姓名、电话、住址等大量敏感数据，但未采取必要的措施保障数据安全。此外，部分行政处罚决定还提及，被处罚的物业公司存在未制定数据安全管理制度、未组织开展数据安全教育培训等情况。

例如2023年3月，湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件中发现某小区业主信息泄露线索，随即对小区所属物业公司发起“一案双查”。经查，该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息，且相关系统均存在登录账号弱口令、账号未设置权限管理等问题，存放用户数据的办公电脑还可使用远程控制软件进行操作。据此，公安部门依法给予该公司警告，并责令限期改正。

此外，2023年6月，江苏省多地公安在开展日常检查时，发现多家物业管理公司在办公电脑内存放业主资料，但既未设置电脑开机密码，也未对资料文件设置密码，任何人都可打开查看业主信息，因此向相关企业发出行政处罚决定书。

　处罚原因：超七成涉事单位未采取安全保护措施

统计数据显示，73.29%已公开的行政处罚决定提及涉事单位“未采取技术措施保障数据安全”，占比最高；其次是“未建立健全全流程数据安全管理制度”，占比60.27%。不难发现，涉事的多数组织或个人对于数据安全的重视程度不足，存在侥幸心理，安全合规投入较少，最终被执法部门查获。

所幸的是，整体来看，已公开的数据安全行政处罚案例中只有3.42%被明确指出已发生数据泄露事件，1.37%被指出发现数据安全漏洞风险和事件时未采取补救措施，绝大部分案例被执法部门检查发现时尚未造成实质性危害后果。

可能在不少人的印象里，数据窃取需要使用复杂的黑客技术，攻破各种复杂的防火墙，远程入侵目标设备。但公开案例表明，最有效的数据窃取手段，往往只需最简单直接的方式。

南都大数据研究院发现，已发生数据泄露事件的案例中，涉事企业未对办公电脑设置安全保护措施，令不法分子可寻机植入木马是造成数据泄露的重要直接原因。

例如2023年8月，江苏省南通市启东市某公司在开展快递业务过程中未履行数据安全保护义务，未落实网络安全等级保护制度，未建立全流程数据安全管理制度，未对扫描快递单电脑设置登录密码，致使他人半夜闯入并对公司电脑植入木马，造成大量公民个人信息被泄露。

2023年5月，江苏省淮安市两家供应链管理公司先后报警，称有人非法获取该公司客户信息。经警方调查，两家公司均未建立健全全流程数据安全管理制度、未组织开展数据安全教育培训，未采取技术措施确保其获取的个人信息安全，导致电脑被嫌疑人安装木马病毒，泄露客户个人信息。

　执法依据：集中在履行数据安全保护义务方面

与涉事单位所存在问题相对应，执法部门在数据安全领域的执法依据集中在《数据安全法》第四章“数据安全保护义务”与第六章“法律责任”方面，其中又以第二十七条和第四十五条占比最高。

具体来看条款内容，《数据安全法》第四章第二十七条提出了数据处理者应履行的数据安全保护义务，包括“建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”

《数据安全法》第四章的其他条款中，第二十九条强调发现数据泄露后需要及时补救；第三十条要求对数据处理活动定期开展风险评估；第三十一条提出对关键基础设施运营者和其他数据处理者在数据出境方面的相关义务；第三十二条指出任何组织、个人不得窃取或者以其他非法方式获取数据；第三十三条强调数据交易中介服务机构的职责；第三十五条赋予执法机关调取相关数据的权限。

《数据安全法》第五章第四十条强调，受国家机关委托处理政务数据者，不得擅自留存、使用、泄露或者向他人提供政务数据。

《数据安全法》第六章主要包括违反该法相应的处罚措施。其中第四十五条列出未履行数据安全保护义务可能面临的处罚：包括责令改正、给予警告和罚款；拒不改正或者造成大量数据泄露等严重后果的，除罚款外，可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

《数据安全法》第四十六条、第四十七条、第四十八条分别明确违法向境外提供重要数据、数据交易中介服务机构未尽责、拒不配合执法机关调取数据可能面临的后果。

处罚方式：以警告及责令改正为主

从处罚方式来看，绝大多数涉事单位只是被执法部门给予警告、责令改正的行政处罚，整改期限从3到10天不等；有21起案例作出了罚款处理，金额跨度从数千元到数十亿元不等；1起案例对涉案人员进行逮捕；另有14起案例未披露具体处罚情况。

南都大数据研究院留意到，已公开的罚款案例中，涉事组织或个人均被执法部门查明造成数据泄露或构成其他严重后果。若执法部门在检查过程中确认数据安全隐患尚未造成实质性危害后果，一般只会给予警告和责令改正，不会作出罚款或逮捕决定，整体上符合“首违不罚、轻微免罚”的行政处罚原则。

公开案例中，罚款金额最高的当数滴滴全球股份有限公司（以下简称“滴滴公司”）80.26亿元人民币的罚单。2022年7月，国家网信办公布对滴滴公司依法作出网络安全审查相关行政处罚的决定。国家网信办有关负责人表示，经查实，滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，应当从严从重予以处罚。

除滴滴公司外，2023年3月，浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统过程中，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成严重数据泄露。据此，浙江温州公安机关对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

2022年4月，国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件。这是南都大数据研究院收集到的146起公开案例中唯一逮捕涉案人员的案件，也是《数据安全法》实施以来，首例涉案数据被鉴定为情报的案件。经查，上海两家公司接受一境外公司委托，在对方规定的16个城市及相应高铁线路上采集了我国铁路信号数据，并在数据采集设备上为该境外公司开通了远程登录端口，方便境外公司实时获取对应的测试数据。经鉴定，两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号，其行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报，相关人员的行为涉嫌《刑法》第111条规定的为境外刺探、非法提供情报罪。

　专家看法

数据安全执法 助推个人信息保护制度落地

《数据安全法》施行以来，《汽车数据安全管理若干规定（试行）》《医疗卫生机构网络安全管理办法》《工业和信息化领域数据安全管理办法（试行）》《中国人民银行业务领域数据安全管理办法（征求意见稿）》等针对具体领域的数据安全管理办法先后出台。可以预见，随着多项配套制度陆续完善，数据安全合规检查与执法将逐步进入常态化阶段。

从统计数据可以看出，过去两年，监管部门不断加大数据安全执法力度和频率，执法对象既包括知名互联网平台企业，也有存储大量敏感数据的物业管理企业、医疗机构等，还涵盖餐饮、零售等社区商业业态。

执法是最好的普法。上海交通大学数据法律研究中心执行主任何渊认为，数据安全执法不能仅仅针对大型企业，路边小店收集的个人信息与人们的生活直接相关。信息处理者不能因为规模小，就认为不需要履行数据安全保护义务。这种执法相当有必要，有助于推进个人信息保护制度的落地。

中国计算机行业协会数据安全专委会委员、北京众安天下科技有限公司负责人杨蔚则建议，与反诈骗宣传类似，可将《数据安全法》和《个人信息保护法》的普及也纳入宣传重点工作。同时，鼓励产业界推出更多适用于小微企业的数据安全解决方案。

策划/统筹：邹莹 张纯

数据采集、分析：李伟锋 袁炯贤 实习生 张欣

出品：南都大数据研究院