《数据安全法》实施近2年，31起执法案例盘点！最高罚款100万！

2021年6月10日，《中华人民共和国数据安全法》经全国人大常委会表决通过，并于2021年9月1日起施行。截至2023年7月7日，谈思汽车基于公开报道，对31起依据《数据安全法》作出行政处罚决定的典型案例做了整理。

在这31起典型案例中，2021年有5起，2022年有5起，2023年1月至7月上共计21起。而行政机关对这些违法单位作出行政处罚的法律依据，主要为《数据安全法》第27条、第29条、第31条、第33条、第35条、第45条第一款、以及第48条。

《数据安全法》第31条规定：

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

2021年3月，马斯克承认特斯拉车内的摄像头可以监测车主，而民众更大的担忧来自特斯拉数据存储于海外服务器，可能导致国家安全信息、地理信息等关键敏感数据泄露。

5月25日晚，特斯拉官方微博发布消息称：已经在中国建立数据中心，以实现数据存储本地化，并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据，都将存储在境内。

特斯拉作为新能源汽车品牌，在处理交通领域相关数据时，鉴于所涉行业的公共利益特殊性以及数据处理体量，符合《数据安全法》第31条中的“关键信息基础设置的运营者”这一界定。

2021年12月，上海某信息科技公司接受一境外公司委托，在对方规定的北京、上海等16个城市及相应高铁线路上，采集了我国铁路信号数据（包括物联网、蜂窝和高铁移动通信专网敏感信号等数据），并在数据采集设备上为该境外公司开通了远程登录端口，方便境外公司实时获取对应的测试数据。

经鉴定，两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号。GSM-R是高铁移动通信专网，直接用于高铁列车运行控制和行车调度指挥，是高铁的“千里眼、顺风耳”，承载着高铁运行管理和指挥调度等各种指令。

境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报。

《数据安全法》第27条规定：

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。

《数据安全法》第29条规定：

开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

2022年2月，广州某公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条，但该公司没有建立数据安全管理制度和操作规程，对于日常经营活动采集到的驾校学员个人信息，未采取去标识化和加密措施，系统存在未授权访问漏洞等严重数据安全隐患。

广东警方根据《数据安全法》第27条，广州警方对该公司未履行数据安全保护义务的违法行为，依法处以警告并处罚款人民币5万元的行政处罚。

2022年5月，枣庄网警某公司自建收费系统，通过公众号采集公民个人信息，存储在第三方云平台上，但对采集的数据未采取安全防护技术措施，未依法履行网络安全保护义务。

枣庄市台儿庄网警根据《数据安全法》第27条第一款、第45条第一款，对该公司予以行政警告处罚，并责令改正。该案例也是山东省首起适用《数据安全法》的行政处罚案件。

2022年10月，上海网信办发现，某科技公司在处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险。

上海网信办依据《数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。

2023年2月，湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据，存在数据泄露风险。

经查，该公司服务器短时间内存在大量登录失败，被恶意用户暴力破解账户密码痕迹。同时，服务器内安装的ElasticSearch软件，可通过互联网在无需账号密码条件下直接访问系统内敏感数据。

湘潭市公安局岳塘分局根据《数据安全法》第27条、第45条第1款，给予该企业警告，并责令限期改正。

2023年2月，岳麓公安分局网络安全保卫大队民警经调查，发现辖区一家信息科技公司相关服务器存在未授权访问漏洞，用户隐私数据存在泄露风险。

经过进一步核实，该公司未制定数据安全管理制度、未开展等级保护备案工作，严重违反了《数据安全法》第27条、第29条规定。

岳麓公安分局依据《中华人民共和国数据安全法》第27条、第45条，给予该公司行政警告，并处罚款五万元，对直接责任人处罚款一万元。

2023年3月，浙江温州公安网安部门在查处一起涉数据安全违法案件时，发现浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。

浙江温州公安机关根据《数据安全法》第45条，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

2023年3月，湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件中发现某小区业主信息泄露线索，随即对小区所属物业公司发起“一案双查”。

经查，该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息。

同时，人脸识别系统、车辆管理系统均存在登录账号弱口令，账号未设置权限管理，存放用户数据的办公电脑使用向日葵远程控制软件进行操作，且未采取任何安全防护措施，未履行数据安全保护义务。

永州东安县公安局根据《数据安全法》第27条、第45条第1款，给予该公司警告，并责令限期改正。

2023年3月，湖南省怀化市沅陵县公安局网安部门通过工作发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。

经查，该公司办公电脑未设置开机密码，缴费系统账号密码均为弱口令，并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。

怀化沅陵县公安局根据《数据安全法》第27条、第45条第1款，给予该企业警告，并责令限期改正。

2023年3月，株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报，株洲某软件学校网站存在短文件名泄露漏洞。经网安大队检查发现，该网站系统中存在大量学生姓名、身份证号、电话号码、家庭住址等敏感信息。

该学校未对前述数据采取应有的技术保护措施，未履行数据安全保护义务，存在数据泄露风险。株洲市公安局荷塘分局根据《数据安全法》第45条第一款，给予该学校警告，并责令限期改正。

3月13日，邵东市公安局网络安全保卫大队民警发现，某二类专科医院以及某疫苗接种门诊，没有制定数据安全管理制度和操作规程，没有对单位员工开展正规的数据安全教育培训，没有采取任何防篡改、防泄漏、防侵入等技术措施，没有对采集到的居民个人信息采取去标识化和加密措施，系统存在弱口令密码等严重数据安全隐患，均违反了《中华人民共和国数据安全法》第27条规定。

邵东市公安局依据第45条规定，对上述两家单位予以行政警告处罚。

2023年4月，麻阳苗族自治县公安局网安大队在日常网络安全监督检查中发现，某商贸公司未建立健全全流程数据安全管理制度，未组织开展数据安全培训，且该公司服务器内存有大量客户敏感数据，包括姓名、身份证号码、手机号码等信息。

该公司未对敏感数据采取相应的技术保护措施，未履行数据安全保护义务，根据《数据安全法》规定，麻阳公安对该公司依法予以行政处罚。

2023年4月，新安县公安局网安部门调查发现新安县经济技术开发区某平台上线运行后未关闭免登录访问漏洞，存在重大网络安全隐患，导致平台数据泄漏。

警方依据《数据安全法》第27、45条，对该公司处以行政警告并处罚款20万元的处罚，并责令其对存在问题进行整改。

2023年4月，分局网安大队、隆湖派出所在案件办理中发现，犯罪嫌疑人刘某某等三人在大武口区隆湖某通讯店内，先后办理了14张手机卡，全部提供给境外犯罪分子用于电信网络诈骗。

分局网安大队快速反应，严查刘某某等三人异常的办卡行为。经询问，该通讯店在未询问办卡原由的情况下，就给刘某某等三人办理了14张手机卡用于违法犯罪活动。

依据公安部“一案双查”的要求，网安大队对该通讯店进行突击检查，发现其存在办公电脑未设置开机密码、未设置建立数据安全管理制度和未组织数据安全教育培训等违法行为。

分局网安大队依据《中华人民共和国数据安全法》第27条、第45条第1款，对该通讯店以未落实数据安全保护责任移交隆湖派出所进行处理，对其予以行政警告处罚，责令限期整改。

2023年4月，茶陵县公安局网安大队发现，茶陵县某医院的医疗管理系统存储着大量患者的姓名、身份证号、电话号码、家庭住址等敏感信息，该医院未建立数据安全管理制度，未采取任何的安全防护措施，未履行数据安全保护义务，存在数据泄露风险。

根据《数据安全法》第27条、第45条第1款，茶陵县公安局给予该医院警告，并责令限期改正。

2023年4月，株洲市公安局天元分局网安大队接株洲市网络与信息安全信息通报中心通报，株洲某医院网站存在跨站脚本漏洞。

经网安大队检查发现，该院未及时落实数据安全管理制度，开展数据处理活动，未及时加强风险检测，存在数据泄露风险。

株洲市公安局天元分局根据《中华人民共和国数据安全法》第27条、第29条、第45条第1款，给予该医院警告，并责令限期改正。

2023年4月，全南县公安局网安大队发现某公司疑似存在网络数据泄露隐患。经查，该公司相关服务器存在未授权访问漏洞，用户隐私数据存在泄露风险。

同时，该公司未落实数据安全保护责任，未开展等级保护备案工作，相关数据安全保护规章制度形同虚设。全南县公安局根据《数据安全法》第27条、第45条，给予该公司行政警告处罚，并责令限期整改。

2023年4月，彬州市XX单位未按照《中华人民共和国数据安全法》制定相应方案，未制定保障数据安全制度，未分级分类，未开展年度常态化技术检测，未履行数据安全保护义务。根据《中华人民共和国数据安全法》第27条和第45条之规定，对郴州市XX单位予以行政处罚。

2023年5月，江西某股份有限公司因履行数据安全保护义务不到位导致OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序，并且在开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《数据安全法》第29条规定。

南昌市网信办依据第45条的规定，对江西某股份有限公司处以警告、罚款50万元，对直接负责的主管人员处以罚款5万元的行政处罚。

2023年5月，溆浦县公安局西湖派出所民警在对溆浦县XX手机店、XX移动专营店等被处罚单位进行网络安全检查时发现，该店自2023年1月以来，将新开卡客户姓名、 身份证号、手机号码等敏感信息资料数据文档，储存在店内未设置开机屏保密码的互联网电脑桌面上，且对该敏感信息资料数据文档未采取单独加设密码等相应的技术保护措施，存在泄漏风险。

根据《中华人民共和国数据安全法》第27条第1款、第45条第1款，对溆浦县XX手机店予以行政处罚。

2023年5月，太湖县公安局网安大队、经济开发区派出所民警在对太湖县某房地产公司进行数据安全检查过程中，发现该公司数据安全意识淡薄，未建立数据安全管理制度和操作规程，未对员工开展数据安全教育培训，未对采集到的居民个人信息采取加密措施。

同时，该公司未明确数据安全负责人和管理机构，对存放业主用户数据的办公电脑未采取任何安全防护措施，未采取必要技术措施保障公司数据安全，未履行数据安全保护义务，导致大量数据信息面临泄露的重大风险。

太湖县公安局对该公司未履行数据安全保护义务的违法行为，依法处以警告并对直接责任人员处罚款人民币1万元的行政处罚。

2023年6月，衡阳网信部门在数据安全领域开出的首张“罚单”。衡南县某医院未履行数据安全保护义务，造成部分数据泄露，违反《数据安全法》第29条规定。

衡南县网信办依据第45条，对该医院作出责令整改、罚款5万元的行政处罚。同时，对第三方技术公司及相关责任人处以1.2万元罚款。

浙江省宁波市公安局发现某金融科技公司数据安全管理制度不完善，存在用户数据泄露风险。经查，该公司未建立数据安全管理制度和操作规程，也未落实网络安全等级保护制度。宁波市公安局依据《数据安全法》对该公司给予警告，并处罚款15万元，责令限期改正。

2023年7月，三乡公安分局鹤湾派出所在对辖区内的公司进行数据安全检查过程中，发现一家信息科技公司疑似存在网络数据泄露隐患。

通过询问相关责任人、调取网络设备日志信息、开展技术检测等方式，鹤湾派出所发现该公司在没有依法建立数据安全管理制度和操作规程等数据保护措施的前提下，对存储的公民敏感信息数据未采取去标识化和加密保护。

依据《数据安全法》第27条、第45条，三乡公安分局对该公司处以警告以及罚款5万元的行政处罚，对该公司负责人作出罚款1万元的行政处罚。

《数据安全法》第35条：

公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

2022年1月，违法行为人韦某乘坐飞机从广东深圳直达广西百色巴马机场，后由韦某堂哥韦建锋开车到巴马机场接送韦某回到田阳区田州镇万和新城小区居住，公安民警向韦某了解情况时，韦某却瞒报行程轨迹信息，后被公安民警查实。

根据《数据安全法》第35条，拟对违法行为人韦某处以罚款二百元的处罚。

2021年7月，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》，网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。

经查实，滴滴公司违反《网络安全法》、《数据安全法》、《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，应当从严从重予以处罚。

2021年11月，针对人民群众反映强烈的App非法获取、超范围收集、过度索取权限等侵害公民个人信息的违法违规现象，海南省互联网信息办公室组织对省内用户量大、与民众生活密切相关的“民生宝”“快速问医生”等7款App收集使用个人信息情况进行了技术检测，检测结果显示这7款App均存在不同程度违法违规收集使用个人信息的行为。

2021年12月，针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息并存在引起个人信息泄露的安全漏洞的问题，浙江省App违法违规收集使用个人信息专项治理工作组依据《网络安全法》、《数据安全法》、《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》等法律和有关规定，组织对实用工具类、网络社区类、网上购物类等常见类型且公众大量使用的部分App的个人信息收集使用情况进行检测，并对闪修侠等87款App进行点对点通报，责令违规App限期整改。

2022年2月，部分App违反必要原则，收集与其提供服务无关的个人信息，未经同意向他人提供个人信息，存在引起个人信息泄露的安全漏洞的问题。

浙江省App违法违规收集使用个人信息专项治理工作组依据《网络安全法》、《数据安全法》、《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》等法律和有关规定，组织对实用工具类、网上购物类等常见类型且公众大量使用的100款App个人信息收集使用情况进行检测，并对微记账等38款App进行点对点通报，责令违规App限期整改。

2023年4月，绥宁县公安局在工作中发现：XX乡XX村XX快递二楼成立一家催收公司，名称为XX达通仁信息技术咨询有限公司，法人代表张X，该公司在没有要求提供合法资质的情况下，审核交易双方的身份，在催收的过程中通过天眼查、小蓝本、钉钉等软件非法获取债务人的信息，获取信息后也没有存档，违反《数据安全法》第33条、第47条，对XX达通仁信息技术咨询有限公司和其法人代表张X予以行政处罚。

在上述31起数据安全行政处罚案例中，涉及到的数据安全主要包含国家数据安全、企业数据安全、以及个人数据安全这三类。

在国家数据安全层面，数据处理者未遵守数据交易安全的规定，擅自向境外提供重要数据，泄露涉及国家重要情报的数据，对国家安全带来潜在危害。这表明数据分类分级保护制度有待完善，需要加强对重要数据的保护。

在企业数据安全层面，涉案企业均未及时落实数据安全保护义务，缺少数据安全风险评估和监测以及应急处置制度，系统存在重大数据安全隐患。但与此同时，对于企业“未履行数据安全保护义务”时，行政机关的处罚存在“类案不同罚”的情况，处罚结果轻至“责令改正”，重至“罚款15万”，如此可能会加重企业的合规负担。

在个人数据安全层面，存在敏感数据违规收集以及数据泄漏风险的问题。数据处理者未履行数据安全保护义务、对敏感数据采取去标识化和加密措施等技术保护措施，导致平台数据泄漏或存在数据泄露风险。而一些平台以强制、诱导等恶意方式严重违法违规收集使用个人信息，侵害了公民的隐私权。

《数据安全法》实施至今，数据安全在我国依然面临较大挑战，从数据安全处理者角度来说，当切实履行数据安全保护义务，构建数据安全管理制度；从行政机关执法者角度来说，当遵行过罚相当原则，基于案件的综合情况决定处罚数额。

-  THE END  -

因文章部分文字及图片涉及到引用，如有侵权，请及时联系17316577586，我们将删除内容以保证您的权益。