《数据安全法》处罚案例：泰州某企业未履行关键数据保护，被处罚 5 万元

泰州某企业未履行关键数据保护，被处罚 5 万元

江苏泰州公安网安部门发现当地某不动产登记中心的“业务练兵系统”存在 Elasticsearch 未授权访问安全漏洞，且未建立全流程数据安全管理制度，未落实有效的数据安全防护措施，可致该系统中存储的 24 万余条业务数据泄露，涉嫌未履行数据安全保护义务。

查获案件详情后，泰州公安机关依据《数据安全法》第 45 条规定，对该不动产登记中心予以行政警告并责令改正，对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款 5 万元。

某软件公司未履行数据安全保护义务，存在数据泄露风险隐患被罚 5 万元

2023 年 6 月，北京市公安局昌平分局警务支援大队工作发现北京速跑软件有限公司研发的“某数据分析系统”存在数据泄露隐患。

经过仔细排查，公安部门发现该公司研发的“数据分析系统”内存有用户敏感数据，经进一步核实查验，该系统内数据信息未采用加密措施，系统服务器未采取任何网络防护措施和技术防护措施，造成 19.1 GB个人敏感信息暴露在互联网。

随着调查深入，公安机关还获悉该公司未曾制定数据安全管理制度、未充分落实网络安全等级保护制度。最终，北京市公安局昌平分局根据《中华人民共和国数据安全法》第二十七条、第四十五条第一款的规定，给予该企业警告，并处罚款 5 万元，责令限期改正。

昌平某生物技术有限公司存在数据泄漏的情况被罚

2023年6月，昌平网安部门检查发现，昌平某生物技术有限公司存在数据泄漏的情况，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄漏数据总量达19.1GB。经检查，该软件公司在开发系统互联网测试阶段，未对相关数据进行加密，未落实安全保护措施，属于未履行数据安全保护义务。北京市公安局昌平分局依据《中华人民共和国数据安全法》第四十五条第一款规定，给予警告并处罚款五万元的行政处罚。

朝阳某教育公司数据被泄漏到境外非法网站

2023年7月13日，朝阳网安部门检查发现，朝阳某教育公司数据被泄漏到境外非法网站上，该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄漏。经现场检查发现，因该公司技术人员在对系统测试过程中，将有权限的测试账号设为弱口令，且系统正式使用后未将测试账号进行清空删除处理。该公司未建立数据安全管理制度和操作规程，系统未进行网络安全评估，同时此账号因弱口令被黑客破解造成大量公民个人信息被盗取泄漏，涉嫌违反《中华人民共和国数据安全法》第二十七条之规定。北京市公安局朝阳分局给予该公司罚款五万元的行政处罚。

北京某教育公司发生数据泄漏

2023年8月1日，一境外论坛发布题为“某教育站点教70多万订单信息”的帖文，疑似北京某教育公司发生数据泄漏，针对此情况，海淀网安部门立即开展核查处置工作。经查，该公司教务排课系统在账号密码传输前未进行加密传输，存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码，通过访问导出大批量后台数据，造成数据泄漏。该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务，违反了《中华人民共和国数据安全法》第二十七条、第四十五条之规定。北京市公安局海淀分局对该公司给予了罚款五万元的行政处罚，给予直接负责的主管人员罚款一万元的行政处罚。

某科技公司网站网页源代码被篡改

2023年9月14日，房山网安部门在对某科技公司检查时发现，该公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，易引发网络赌博或网络诈骗案件。经查，该科技公司没有建立管理制度，没有定期开展漏洞扫码，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，导致网站前端源代码泄漏，造成网站内容被篡改，违反了《中华人民共和国网络安全法》第二十一条规定，属于不履行网络安全保护义务行为，北京市公安局房山分局对运营者责令改正，给予警告处罚。