2022-2024數據安全處罰典型案例：63個(gè)典型案例參考

1 廣州某公司開(kāi)發(fā)的“駕培平臺”未履行數據安全保護義務(wù)

2022年2月，在開(kāi)展廣州民生實(shí)事“個(gè)人信息超范圍采集整治治理”專(zhuān)項工作中，廣 州警方檢查發(fā)現，廣州某公司開(kāi)發(fā)的“駕培平臺”存儲了駕校培訓學(xué)員的姓名、身份 證號、手機號、個(gè)人照片等信息1070萬(wàn)余條，但該公司沒(méi)有建立數據安全管理制度和 操作規程，對于日常經(jīng)營(yíng)活動(dòng)采集到的駕校學(xué)員個(gè)人信息未采取去標識化和加密措施， 系統存在未授權訪(fǎng)問(wèn)漏洞等嚴重數據安全隱患。系統平臺一旦被不法分子突破竊取， 將導致大量駕校學(xué)員個(gè)人信息泄露，給廣大人民群眾個(gè)人利益造成重大影響。

根據《中華人民共和國數據安全法》第27條，廣州警方對該公司未履行數據安全保護 義務(wù)的違法行為，依法處以警告并處罰款人民幣5萬(wàn)元的行政處罰。

2 棗莊某公司存儲個(gè)人信息至第三方云平臺上，未履行數據安全保護義務(wù)

2022年5月，棗莊網(wǎng)警在執法檢查中發(fā)現，某公司自建收費系統，通過(guò)公眾號采集公 民個(gè)人信息，存儲在第三方云平臺上，但對采集的數據未采取安全防護技術(shù)措施，未 依法履行網(wǎng)絡(luò )安全保護義務(wù)。

棗莊市臺兒莊網(wǎng)警根據《中華人民共和國數據安全法》第27條D一款、第45條D一款， 對該公司予以行政警告處罰，并責令改正。該案例也是山東省首起適用《中華人民共 和國數據安全法》的行政處罰案件。

3 鹽城某醫藥公司不履行數據安全保護義務(wù)被處罰

2023年9月，江蘇鹽城公安網(wǎng)安部門(mén)在對當地某醫藥公司檢查時(shí)發(fā)現，該公司醫療健康信息 的會(huì )員管理系統存有大量公民個(gè)人信息，經(jīng)現場(chǎng)檢測發(fā)現該系統存在網(wǎng)絡(luò )安全漏洞，且該公 司未建立數據安全管理制度，未組織開(kāi)展數據安全教育培訓，也未采取相應技術(shù)措施保障數 據安全，涉嫌未履行數據安全保護義務(wù)。

鹽城公安機關(guān)依據《中華人民共和國數據安全法》第45條規定，對該公司予以行政警告并責 令限期改正。

4  重慶某科技公司未建立完善的絡(luò )數據安全管理制度被罰款10萬(wàn)元

2024年3月，重慶市網(wǎng)信辦發(fā)現某一科技公司存在網(wǎng)絡(luò )數據安全違法行為，并進(jìn)行立案調查。 重慶網(wǎng)信辦依據《中華人民共和國數據安全法》作出責令限期改正，給予行政警告，并處10 萬(wàn)元罰款的行政處罰。

調查結果顯示，該公司運營(yíng)的某OA信息系統由于未履行網(wǎng)絡(luò )數據安全保護義務(wù)，導致大量 數據泄露，情節嚴重。作為網(wǎng)絡(luò )數據處理者，該公司未按法律規定建立完善的全流程網(wǎng)絡(luò )數 據安全管理制度，也未組織開(kāi)展網(wǎng)絡(luò )數據安全教育培訓，同時(shí)未采取必要的技術(shù)和其他措施 確保網(wǎng)絡(luò )數據安全。這些行為違反了《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數 據安全法》和《中華人民共和國個(gè)人信息保護法》等相關(guān)法規。

依據《中華人民共和國數據安全法》D二十七條、D二十九條、第四十五條之規定，重慶網(wǎng) 信辦對該公司作出責令限期改正，給予行政警告，并處10萬(wàn)元罰款的行政處罰

附件：2022-2024數據安全處罰典型案例：63個(gè)典型案例參考