安全419盘点 | 2023年全国数据泄露大事记及执法观察

2023年，数字化转型在各行各业持续深入，因系统漏洞、外部攻击、内部威胁、主体责任缺失等造成的各类数据泄露事件频发。数据要素价值红利凸显，个人信息、敏感资产等数据泄露的影响严重而深远，数据安全逐步进入法治化的强监管时代。

安全419对2023年国内的数据泄露事件、监管、执法进行总结回顾，再次重申数据安全的重要性与必要性，这不仅是数据处理者保证合规所必须履行的义务，更与业务发展、企业利益及声誉、社会稳定乃至国家安全息息相关。

网安法、数安法、个保法作为安全领域顶层设计的“三驾马车”，对数据安全及个人信息保护提出了明确的合规纲领。观察2023年的监管实际，安全419发现，监管朝着标准化、程序化和科学化方向发展的趋势不断清晰明确。

总结来看，数据安全监管已成常态化并且监管职责体系日渐完整，过去一些空白和模糊的地带在逐渐被填补。

在实体上，基本原则始终围绕统筹发展与安全，通过健全完善事前的评估、审查机制和事后的报告、响应流程，尽力避免数据泄露事件发生的可能性，同时将数据泄露影响维持在可控范围内。

在程序上，对于故意/无意侵犯数据所有者主权、利益和未履行数据保障义务的主体，依据明确的裁量基准，采取惩戒相当的梯级处罚手段加强监督管理。

经安全419不完全统计，选取以下2023年度公开被报道、公开可查询的，较为典型的，涉数据泄露相关的安全事件和处罚案例。我们可以从中立体地感受到数据泄露态势的严峻，以及监管判例的程序和力度。

12月，北京市人民检察院发布北京市检察机关维护网络安全典型案例，安全419选取其中两例涉数据安全案例。

某科技公司数据库管理员因工作原因对公司心生不满，利用权限便利将系统内的财务数据及相关应用程序删除，作案后将相关数据痕迹删除。公司为恢复上述数据及重新构建系统花费人民币18万元。一审判决该员工犯破坏计算机信息系统罪，判处有期徒刑七年。被告上诉被驳回并维持原判。

李某某通过“暗网”购买、出售涉大学生、银行客户、保险客户、网购用户等特定群体的公民个人信息900余万条，涉及全国二十余个省市。法院判决李某某犯侵犯公民个人信息罪，被判处有期徒刑三年，并处罚金人民币11万元，同时判处李某某在国家级媒体向社会公众公开赔礼道歉，删除其非法持有的公民个人信息数据，支付赔偿金人民币10万余元。

12月，重庆渝中区一科技公司开发运营的某OA系统因未履行好网络数据安全保护义务，导致大量数据泄露，情节严重。网信办依法对该公司作出责令限期五日改正，给予行政警告并处10万元罚款的行政处罚。

12月，北京一互联网公司遭黑客撞库攻击，求职招聘类app的短信验证码接口遭受攻击达1300余万次。同时该团伙还长期使用类似方式对其他各大网站进行渗透并伺机查找网站漏洞，以此为诱饵向他人兜售自己编写的恶意程序，长期在境外网站盗卖由撞库非法获取的大量公民个人信息及公司账号数据。最终犯罪团伙被全部抓获，现场起获各类公司、人员数据330余万条。

11月，温州某大药房数据分析师利用工作便利将大量交易数据导出并在暗网售卖。温州网安侦查发现，该大药房未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施保障数据安全。该员工涉嫌侵犯公民个人信息罪被刑事拘留，案件在进一步办理中。该大药房被处罚款110万元，直接负责的主管人员被处罚款10万元。

11月，济南多名新生儿父母接到“上门摄影”电话推销。经查，推销公司法人曾联系两位好友，二人利用职务之便潜入单位系统，查询获取到部分孕妇和新生儿信息，并以每条5元出售，共查获纸质版新生儿信息2000余条，电子版6万余条。专案组梳理其他曾为该公司提供各类公民个人信息的多家家政、月嫂、孕教等上线机构，又先后抓获犯罪嫌疑人9名。后对该系统主管单位处以行政警告并责令整改，对其开发运维企业处以行政警告、罚款5万元并责令整改，对企业驻点的直接责任人崔某健处以行政警告、罚款1万元。

11月，国内某家能源集团的相关数据在暗网上被黑客以50比特币的价格拍卖。从黑客发布的样本截图来看，此次泄露的数据中涵盖了财务数据、设计图纸、职工信息等，非常敏感的信息。

11月，大江生医集团被曝大量数据遭到泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)，总大小 236.3 GB，包含 104,001 个文件。

10月，据国家安全部消息，今年以来，国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理，调查境外气象设备代理商10余家，检查涉外气象站点3000余个，发现数百个非法涉外气象探测站点实时向境外传输气象数据，广泛分布在全国20多个省份，对国家安全造成风险隐患。

10月，福建厦门一培训机构系统被“黑客”非法侵入，近2万条个人信息泄露，其学员更遭遇精准诈骗。警方依网安法对该教培机构处以罚款1万元，对直接负责的主管人员处以罚款5000元的行政处罚。

10月，北京市网信办依据数安法对属地三家企业未履行数据安全保护义务作出行政处罚。经查实，三家企业部署的ElasticSearch数据库存在未授权访问漏洞，造成部分数据泄露。网信办对三家企业分别作出责令改正，给予警告，并处5万元罚款的行政处罚，对直接主管人员和其他责任人员处以1万元罚款处罚。

以上为2023年第四季度典型数据泄露事件一览，请点击查阅：

另外，安全419还梳理了2023年各地执法部门通报的数据安全执法阶段性成果或报告，从数据层面反映出：

数据泄露是众多系统漏洞、攻击活动、误操作、未履行合规义务而导致的直接结果；涉案的数据类型和侵权形态较为多样，公民个人信息权益保护、敏感数据资产保护仍面临严峻挑战；监管持续补位，专项行动、一案双查等措施贯彻实施；公民维权意识显著加强，相关诉讼案件增多。

11月，北京高院发布《侵犯公民个人信息犯罪审判白皮书》，对近5年来全市法院审结的侵犯公民个人信息罪案件进行分析。

11月，公安部通报全国公安机关持续开展“净网”系列专项行动，全力打击黑客类违法犯罪举措及总体成效情况。2022年以来，全国公安机关共侦破黑客类犯罪案件2430起、抓获犯罪嫌疑人7092名。2023年第三季度，公安机关共办理网络和数据安全行政案件1.4万起，其中，网络运营者不履行网络安全保护义务的案件占86%。

11月，2023年三季度金融业监管数据处罚分析公布。人民银行第三季度共开出85张数据罚单，罚款金额为48.2亿元；金融监管总局第三季度共开出340张数据罚单，罚款金额 28.7亿元。人民银行和金融监管总局数据罚单的处罚事由中，数据合规罚单数量增速最高，数据使用、数据收集和数据查询是数据合规检查重点。

11月，北京互联网法院通报个人信息保护案件审理情况，自2018年，共受理58件涉及个人信息保护的案件，以互联网企业为主要被诉主体。