4008708893
随着各地陆续出现适用《数据安全法》的相关案例,记者梳理了今年6月以来,各地监管部门陆续披露的关于数据泄露的相关处罚案件。梳理发现,此番数据泄露治理所涉企业多见于日常生活之中,科技、教育、快消等行业均有涉及,处罚措施多以警告、整改和罚款,最高罚款100万元。责任划分也更加细致,数据管理者和运营者都面临处罚。同时,未做好安全防护、未按规定落实主体保护责任的企业,也被处罚。
1、此轮数据泄露案件涉及科技、高校等多个行业
通过对近期数据泄露的案例盘点发现,不同于之前数据泄露案例主要集中在大型互联网公司的印象,6月至今,因数据泄露而被行政处罚的企业多见于涉及公众日常生活的企业。从梳理案例来看,相关案例所涉及行业多为科技公司,同时教育、生活娱乐、咨询、消费等行业都有涉及。而从地域分布来看,此次梳理的案例被处罚的企业多集中在南方和东部地区。
2、最高被罚100万,多警告、整改、罚款
通过对处罚措施梳理发现,针对数据泄露严重程序,相关主管机关分别做出了责令整改、予以警告、罚款等措施,暂未出现暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等极为严厉的处罚措施。
在罚款金额方面,某科技公司因违规泄露某政府机关采集的敏感业务数据被网安部门罚款100万元,为此轮罚款最高;同时,该公司项目主管被罚8万元,为对个人罚款最高金额。
3、责任划分更细致,管理、运营均担责
从法律责任划分方面,数据管理者、运营者均需担责。一旦发生数据泄露,依据具体情况,数据拥有主体、第三方科技公司均需负责。
如衡南县网信办查处某医院未履行数据安全保护义务造成部分数据泄露,对于对该医院作出责令整改,给予警告,并处罚款。对第三方技术公司及相关责任人处以罚款。
又如浙江温州公安机关对浙江某科技公司及项目主管人员、直接责任人员作出罚款。针对建设单位失管失察、未履行数据安全保护职责的情况,当地纪委监委也对建设单位主要负责同志、部门负责人等追究问责决定。
4、行业主管、公安网安、网信等负责监管
梳理发现,行业主管、公安机关(多为网安)和各地网信部门,都有权在其管辖范围内对数据泄露做出相应处罚。
《数据安全法》第一章第六条规定,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
5、未落实网络安全主体责任成主因
梳理相关案例发现,违法的法规主要是数据安全法的第二十七条、第二十九条以及第四十五条。
具体来看,相关公司主要未能落实网络安全保护主体责任,如未能建立网络数据安全管理制度、防护措施不足、未能对已收集数据尤其是包含敏感信息数据进行有效技术保护、未定期展开风险评估等。
本次梳理过程中,即便是尚未发生数据泄露,未按规定落实网络安全和数据安全保护主体责任的企业,没有采取有效技术措施防范相关风险的企业,相关企业也受到了相关处罚,企业需要做好日常安全防护、全链条流程保障数据安全和网络安全。
(新闻来自:21世纪经济报道 记者:郑雪)
苏州天锐信息科技有限公司作为厦门天锐科技股份有限公司在江苏设立的服务运营中心,是专为本地化客户提供服务的信息安全产品与整体解决方案提供商。苏州天锐是国家级高科技企业,公司专注于信息安全领域产品研发,致力于为企事业单位提供专业的信息安全产品、顾问咨询和技术服务。
