1月

厦门银行涉嫌23项违法行为被罚764万元

1月30日，中国人民银行福州中心支行公布福银罚决字[2023] 10号行政处罚决定书，对厦门银行违反个人金融信息保护规定、违反信息披露管理规定、向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人等23项违法行为予以警告，没收违法所得767.17元并处罚款764.6万元的行政处罚。

2月

黑客团伙盗卖百万条数据，涉嫌侵犯公民个人信息罪

2月15日，厦门市公安局网安支队成功打掉一个集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙，破获某公司被侵犯公民个人信息案。据悉该黑客团伙通过攻击厦门一科技公司系统，非法获取公民个人信息百万余条并出售，非法获利约40万元。

3月

6000余条个人敏感信息因明文存储遭泄露

3月，湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件中发现某小区业主信息泄露线索，随即对小区所属物业公司发起“一案双查”。经查，该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息。同时，人脸识别系统、车辆管理系统均存在登录账号弱口令，账号未设置权限管理，存放用户数据的办公电脑使用向日葵远程控制软件进行操作，且未采取任何安全防护措施，未履行数据安全保护义务。永州东安县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该公司警告，并责令限期改正。

擅自将甲方敏感信息上传至公有云造成数据泄漏，罚款114万元

浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。根据《中华人民共和国数据安全法》第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

4月

江西某公司违反《数据安全法》，被网安部门罚款50万元

4月，江西某股份有限公司因履行数据安全保护义务不到位，导致OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序，并且在开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定，对江西某股份有限公司处以警告、罚款50万元，对直接负责的主管人员处以罚款5万元的行政处罚。

某医院未建立数据安全管理制度，存在个人信息泄露风险

4月20日，茶陵县公安局网安大队在进行日常网络安全检查工作中发现，茶陵县某医院的医疗管理系统存储着大量患者的姓名、身份证号、电话号码、家庭住址等敏感信息，该医院未建立数据安全管理制度，未采取任何的安全防护措施，未履行数据安全保护义务，存在数据泄露风险。茶陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该医院警告，并责令限期改正。

5月

未履行数据安全保护义务，大量数据信息面临泄露风险

5月16日，太湖县公安局网安大队、经济开发区派出所民警在对太湖县某房地产公司进行数据安全检查过程中，发现该公司数据安全意识淡薄，未建立数据安全管理制度和操作规程，未对员工开展数据安全教育培训，未对采集到的居民个人信息采取加密措施。同时，该公司未明确数据安全负责人和管理机构，对存放业主用户数据的办公电脑未采取任何安全防护措施，未采取必要技术措施保障公司数据安全，未履行数据安全保护义务，导致大量数据信息面临泄露的重大风险。太湖县公安局对该公司未履行数据安全保护义务的违法行为，依法处以警告并对直接责任人员处罚款人民币1万元的行政处罚。

6月

未履行数据安全保护义务，造成数据泄露被罚款5万元

6月，衡阳网信部门在数据安全领域开出首张“罚单”。衡南县某医院未履行数据安全保护义务，造成部分数据泄露，违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定，对该医院作出责令整改，给予警告，并处罚款5万元的行政处罚。同时，对第三方技术公司及相关责任人处以1.2万元罚款。

7月

非法获取个人隐私信息，已被刑拘

7月1日，“人大泄露信息”话题登上热搜，引发广泛关注。中国人民大学一硕士毕业生马某某利用自己的专业技能，盗取了学校内网的数据，收集了全校本硕博学生的个人信息，包括照片、姓名、学号、籍贯、生日等，然后公开发布在一个网站上进行颜值打分。马某某已被海淀公安分局依法刑事拘留。

上述安全事件的处罚大多是依据2021年9月1日正式施行的《中华人民共和国数据安全法》中的第二十七条和第四十五条，以及《中华人民共和国刑法》第二百八十五条。

《中华人民共和国数据安全法》

第二十七条

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第四十五条

开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；

拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

《中华人民共和国刑法》

第二百八十五条　

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

法规条例明确企业达到“合规”要求

《数据安全法》要求数据处理主体建立全流程的数据安全管理制度，不仅互联网或者大数据公司，即使传统企业、政府机关、事业单位或者其他社会组织，只要涉及到信息的记录和处理，都应当建立数据安全管理制度。

与此同时，《关键信息基础设施安全保护条例》《信息安全技术 关键信息基础设施安全保护要求》也明确对企业提出“定期开展网络安全教育培训和技能考核”的要求。我国监管机构越发重视网络安全和数据安全，企业对于自身网络和数据安全的合规要求也须不断提升。建立健全数据安全管理体系，进行合规性审查和改进，既是非常迫切的现实需求，也是未来发展的方向。

i春秋网络安全意识产品助力企业数据合规改进

企业想要提升网络安全意识，开展有计划、有目标的数据安全培训工作是必不可少的。然而，在具体执行过程中可能会面临诸多问题，例如说，企业花费大量人力、物力组织培训，但培训效果无法评估；培训方式比较陈旧，不容易被员工接受；还可能无法根据员工自身水平有针对性地开展培训......

依托专业的安全技术研究和服务团队，通过上百家政企用户的调研分析，总结出一套符合政企特点的网络安全意识产品，以人员岗位需求和网络安全知识库为指导，通过科学的方法提高人员网络安全意识从而实施系统化的宣教活动；通过线上+线下的宣教方式，结合丰富的宣教形式多维度的开展培训活动，切实有效提高员工网络安全意识与技能。

欢迎垂询>>i春秋网络安全意识