企业动态

    据公安部网安局消息，2023年3月，浙江温州公安网安部门查处一起涉数据安全违法案件，根据《中华人民共和国数据安全法》（以下简称：《数据安全法》）第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

    2023年3月，长沙市公安局岳麓分局网络安全保卫大队查处了长沙市首起违反《数据安全法》的行政案件,对涉案公司依法处以行政警告,并处罚款5万元。

    2023年5月30日，南昌市网信办依据《数据安全法》对江西某股份有限公司处以警告、罚款50万元，对直接负责的主管人员处以罚款5万元的行政处罚。

    2023年6月，湖南省衡南县网信办在省、市网信办的指导下，对违反《数据安全法》的衡南县某医院给予警告，处罚款5万元的行政处罚，对第三方技术公司及相关责任人处以1.2万元罚款。

    ……

    近年以来，全国各地不断出现数据安全处罚事件，很多都是当地首个“罚单”。根据清华大学智能法治研究院近日发布的一份报告显示，公开发布依据《数据安全法》作出行政处罚决定典型案例有34起，2021年数据安全领域的行政执法案例共4起、2022年案例共7起。而仅2023年1月至6月案例就达23起。奇安信集团数据安全首席科学家刘前伟表示，这对外传递了强烈的信号：数据安全合规正在全国各地加速落地，监管常态化时代已经到来。

    天价“罚单”未出现，但常态化趋势明显

    从2023年公开报道的几起数据安全处罚事件来看，最高金额为100万元，其他为数万到数十万不等，并没有出现2022年国内某出行巨头高达80.26亿元的天价罚款。

    罚款金额高低不等，充分体现了合规执法更加科学务实、精准化和精细化的趋势。

    以浙江温州公安网安部门做出的100万罚单为例，原因是浙江某科技有限公司在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。由于该事件牵涉到敏感数据，且性质比较严重，罚款力度也更重。

    相比之下，衡南县网信办做出的“罚单”，其原因是衡南县某医院未履行数据安全保护义务，造成部分数据泄露。其危害性、严重性较浙江温州事件轻很多，因此，衡南县网信办主要对该医院作出责令整改，给予警告，并处罚款5万元的行政处罚。同时对第三方技术公司及相关责任人处以1.2万元罚款。

    而4月份，江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒，导致OA系统和服务器内存储的大量敏感数据存在泄漏风险，该公司履行数据安全保护义务不到位。最终被处以警告、罚款50万元。

    可以看出，《数据安全法》正式实施以来，公安、网信等部门积极适用新法，全面压紧压实网络运营单位数据安全主体责任，充分体现“有法可依、有法必依、执法必严”的法治精神。而多地的罚单都属于当地“首例”，表明数据安全治理已经迈出了积极探索和实践的第一步。

    《数据安全法》落地加速   企业急需“红线意识”

    数据安全处罚事件频发，意味着数据安全在我国仍面临较大的挑战，数据处理者应当加强数据安全保护力度，落实总体国家安全观，切实履行数据安全保护义务，构建数据安全管理制度，维护国家安全和社会稳定。结合从众多政企行业客户中的实践，刘前伟指出，当前国内数据安全建设大致分化为强合规驱动型和事件驱动型两种类型。

    其中强合规驱动型，主要以运营商、金融行业客户等领域的国有企业为代表，重视合规先行。相应的，工信部门、金融监管等部门等也出台了较为详尽的数据安全合规要求，标准较高、要求颗粒度很细，既考虑到国家层面的上位要求，也结合了行业特性，具有扎实落地性。企业只需“按图索骥”，即可实现较高的安全水平。

    以金融行业为例，除了《网络安全法》、《数据安全法》、《个人信息保护法》三大上位法之外，2020年2月，中国人民银行正式下发了《个人金融信息保护技术规范》，此后，监管层又相继出台《金融数据安全 数据安全分级指南》、《金融科技创新安全通用规范》、《人工智能算法金融应用评价规范》、《金融数据安全 数据生命周期安全规范》，以及《金融领域科技伦理指引》等等，一系列标准化文件都对金融机构数据安全保护与个人权益保护提出了完备要求，为金融企业数据安全合规建设提供明确指引。

    而事件驱动型主要集中于新兴行业客户，包括工业互联网企业、车联网企业等等，这些行业目前数据安全具体监管要求还不太多，合规要求未深入覆盖，具有很强执行度的合规细则还未出台。所以，他们更加关注舆论事件驱动，一旦出现数据安全事故，会对企业品牌声誉及消费者忠诚度产生负面影响。2022年末，某车企数据被窃遭“天价”勒索，泄露数据或含车主与员工身份证、住址等，带来重大负面舆情。对于这一类客户而言，对于数据安全事件的有效处置成为重点。

    刘前伟认为，无论是合规驱动，还是事件驱动，企业都需要持续具备“红线意识”。尤其对于掌握了与国家安全、重点科研、国计民生紧密相关重要和敏感数据的企业平台而言，更需要兼顾安全合规、重要数据保护和业务发展等多方面的使命。

    如何保障合规不踩线？管理、技术、运营一个不能少

    如何做好数据安全合规建设？刘前伟认为，这不仅是简单的产品堆砌，需要从“管理、技术、运营”三方面来开展数据安全的治理与防护工作。

    首先，从管理层面，企业可以在组织制度和流程上进行优化。由于数据在各业务系统之间流转，需要设立高级管理层参与决策的数据安全管理部门，统筹和规划多部门之间的工作；需要设立跨组织的数据管理协调部门，以确保制度、流程、技术等方面的落地。结合法律法规、合规监管，制定基础结构安全管理办法及配置管理指南，身份与权限管理办法，数据安全管理办法及数据分类分级原则和方法，个人信息保护管理办法及流程，事件应急响应管理及流程，审计管理业务连续性保障管理及流程。

    其次，在技术层面，需要分段实施、体系规划、有序建设。在初期，需要先理后治，梳理业务，识别重要数据资产，同时补短固底，做好基础安全防护，如数据资产隔离保护，特权账号、PAM、堡垒机、数据审计，终端DLP等。在具备基础之后，在做好分类分级、数据流转，做分级管控和安全防护，包括不限于：数据流转的细粒度访问控制，API安全监测与防护，高敏数据的加密、脱敏、防泄漏等、数据审计等，态势感知，以及场景化方案（如个人信息保护，办公安全、运维安全、数据跨境安全，数据开放安全等）。

    最后，在运营层面，需要长期、有序、常态的构建运营体系。通过构建流程+平台”的运营体系，根据业务数据及风险情况调整安全策略，实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现、审计溯源等做整体态势感知。

    总之，数据安全合规建设是一项非常复杂的工程。除了企业和监管单位的努力之外，还需要充分借助外部的专业力量，依托专业数据安全公司，以及第三方法律机构的参与和支持，对合规制度流程不断完善，对人员技术能力不断提升，对各类安全风险持续跟踪及修复，才能从长远角度提升企业的数据安全水平，确保 “安全合规不踩线”，保障数字化行稳致远。