2023年网络安全事件处罚盘点

《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,《中华人民共和国网络安全法》从2013年下半年提上日程,到2016年年底颁布,自2017年6月1日起施行,论证、起草、出台到快速施行,充分说明了出台这部法律的重要性和紧迫性。

2023年,国内外网络安全事件,尤其是大规模数据泄露、违规违法、未能履行主体责任、未能尽到对生成信息的审核管理义务等事件层出不穷,不但给企业带来巨额财务和品牌损失,导致客户信任流失,同时也意味着来自监管部门的巨额罚单以及包括安全整改、停业整顿和吊销营业执照在内的严厉处罚。

随着各国网络安全法规的不断健全,数据监管力度不断加大,对数据泄露事件的处罚愈加严厉,以下我们整理了2023年的国内外网络安全事件处罚案例,供大家参考借鉴,敲响警钟。新的一年,网络空间安全不仅依靠政府监管,更需要企业、社会组织、技术社群和公民个人等网络利益相关者的共同参与!

TikTok又受挫,因无法轻易拒绝Cookie在法国被罚500万欧元

法国数据保护监管机构因违反Cookie同意规则而对短视频平台TikTok处以500万欧元(约540万美元)罚款。法国国家信息和自由委员会(CNIL)声称,Tiktok没有提供像“一键接受”Cookie跟踪那样提供“一键拒绝”的选项,平台也未能充分告知用户不同Cookie的使用目的,从而违反了法国数据保护法第82条。

厦门银行被罚764万元,涉及个人金融信息保护等23项违法行为

1月30日,中国人民银行福州中心支行公布行政处罚信息公示表,其中显示,厦门银行因涉及违反个人金融信息保护规定等23项违法行为,被人民银行福州中支予以警告,没收违法所得767.17元,并处罚款764.6万元。

小米回应“汽车泄密”事件:涉事合作方被罚100万元

2月2日,小米科技有限责任公司通过微博“小米公司发言人”发表声明称:1月22日,小米汽车合作方北京某模塑科技有限公司因对其下游供应商管理不善,泄露了汽车前后保险杠的早期设计稿。

16.5亿欧元!创纪录的GDPR罚款

爱尔兰数据保护专员(DPC)对Meta Platforms Ireland Limited(Meta爱尔兰分部)因涉嫌未能保护儿童个人数据而对Instagram处以4.05亿欧元的最高罚款。

罚款5万元!长沙首张违反《数据安全法》罚单

2月24日,岳麓公安分局网络安全保卫大队民警发现辖区一家信息科技公司疑似存在网络数据泄露隐患,最终依据《中华人民共和国数据安全法》第四十五条规定,给予该公司行政警告,并处罚款五万元。

突发!因违规向华为供货,希捷被美国罚款3亿美元

4月20日消息,机械硬盘大厂希捷(Seagate)已同意支付3亿美元罚款,与美国当局就违反美国出口管制法向中国华为运送价值超过11亿美元的硬盘驱动器一事达成了和解。

12亿欧元!Meta因向美国传输数据被欧盟重罚

5月22日,欧盟数据保护监管机构对Facebook的母公司Meta处以了创纪录的12亿欧元罚款,因Meta非法将欧洲公民的个人数据传输到美国。这项罚款是欧盟自《通用数据保护条例》通过以来的最大一笔罚款,远超此前2021年7月以隐私违规为由对亚马逊处以的7.46亿欧元。

飞利浦因在华违反FCPA被美国SEC罚款超过6200万美元

美国证券交易委员会(SEC)宣布,总部位于荷兰阿姆斯特丹的消费电子及医疗设备龙头Koninklijke Philips N.V.(Philips )将同意支付1500万美元的民事罚款和4710万美元的追缴和判决前利息。

江西某公司疑遭黑客攻击,当地网信办依据数据安全法处以50万罚款

2023年4月13日,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒,主机存在受控的风险。经过查明后,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。

衡阳一医院数据保护不力被开6.2万元罚单

衡南县某医院未履行数据安全保护义务,造成部分数据泄露,衡南县网信办对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款。

浙江一公司涉数据安全违法,当地警方依据数据安全法处以100万罚款

浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

瑞典对两家公司处以百万欧元罚款

瑞典隐私保护局(IMY)最近对两家公司处以了约100万欧元的罚款,原因是其使用谷歌工具向美国传输了个人数据。

68亿韩元!韩国运营商LG Uplus因个人信息泄露被罚

据韩联社报道,韩国数据保护监管机构周三(7月12日)对LG Uplus公司处以68亿韩元(约合527万美元)的罚款,这是该监管机构对韩国公司开出的最高罚单。LG Uplus在1月份表示,大约30万名客户的个人数据,包括他们的姓名、出生日期、家庭住址和电话号码,在一次网络攻击中被泄露,并在一个非法网站上曝光。

江西一IT公司疑发生数据泄露,当地通管局依据数据安全法罚款15万元

近日,根据上级部门通报,赣州某信息技术公司业务系统疑似遭受黑客攻击,存在数据泄露风险。有关部门查明该公司在开展网络营销代理业务中未有效落实网络和数据安全保护主体责任,未依法采取相应的技术措施保障业务系统数据安全,该行为违反了《中华人民共和国数据安全法》相关规定,省通信管理局对赣州某信息技术公司给予警告、罚款15万元,对直接负责的主管人员和直接责任人各罚款1万元。

平安银行等三家金融机构收央行的巨额罚单

7月7日晚间,央行公布了对平安银行、邮储银行和人保财险的行政处罚。平安银行因10类违法行为被没收违法所得1848.67元,罚款3492.5万元。同时,时任平安银行运营管理部/安全保卫部总经理助理史某等12人也收到央行罚单。邮储银行因10类违法行为被罚3186万元,另有15个人收到央行罚单。中国人民财产保险股份有限公司因未按规定履行客户身份识别义务、未按规定保存客户身份资料和交易记录、未按规定报送大额交易报告或者可疑交易报告三类违法行为被罚464万元,同时另有2人收到央行罚单。

罚款85万元!南昌某高校发生大量数据泄露案件


近期,南昌公安网安部门工作发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。涉案高校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。


罚款5000万元!国家网信办对知网依法作出处罚


国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。

重庆某科技公司因违反《数安法》被网信办罚款10万元

该公司因业务开展,收集、存储、处理的网络数据量较大,但未按法律法规要求建立健全全流程网络数据安全管理制度等,被网信办处以10万元罚款

涉“违规泄露客户信息”等6项违法违规,中行被罚210万

《银行科技研究社》消息:国家金融监督管理总局7月18日发布的行政处罚信息显示,中行嘉兴分行存在6项主要违法违规行为,其中包括“违规泄露客户信息”等,依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项,《中华人民共和国商业银行法》第七十三条第三项,被原银保监会嘉兴监管分局处以罚款210万元。

百行征信违规被央行处罚

百行征信有限公司(简称“百行征信”)被警告和罚款51.5万元,理由如下:1.违反征信机构管理规定;2.违反信用信息采集、提供、查询及相关管理规定。

网信部门依法查处腾讯QQ危害未成年人身心健康违法案件

近日,针对腾讯QQ平台“小世界”版块存在大量色情等违法信息,危害未成年人身心健康问题,国家网信办指导广东省网信办,依法约谈腾讯公司相关负责人,依据《未成年人保护法》第一百二十七条,实施行政处罚,责令暂停“小世界”版块信息更新30日,没收违法所得并处100万元罚款。

上海某政务系统承包商因公民个人信息泄露遭境外兜售被处罚

据有关部门在跟踪调查中发现,上海某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间,相关存储端存在高危漏洞,导致大量公民数据泄露,以致成为境外不法分子窃取政务数据的“供应链”入口。日前,上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚。

浙江某银行因违反金融信息保护管理规定被罚

近日,人民银行嘉兴市分行发布的行政处罚信息显示,浙江嘉善农商银行存在多项违法行为,被警告,并被罚款121万元。同时,3名相关负责人被罚。

因违反儿童隐私,TIKTOK被爱尔兰数据保护委员会罚款3.45亿欧元

爱尔兰数据保护委员会(DPC)因违反儿童隐私而对TikTok罚款3.45亿欧元。DPC进行的调查揭示了TikTok“家庭配对”功能中的严重缺陷,这可能被滥用来将儿童账户与“未经验证”的成年人关联起来。由于默认的账户设置允许任何人查看他们发布的内容,13岁以下的儿童面临着严重的风险。

河南某商业银行被罚84.2万

近日,根据人民银行河南省分行发布的行政处罚显示,河南光山农商银行因存在8项违法行为,被警告,并被罚款84.2万元。同时,2名相关负责人被罚款。

网信部门出手,夸克和网易CC被罚

10月30日,国家网信办指导广东省网信办依法约谈“夸克”平台和“网易CC”直播平台相关负责人,针对其破坏网络生态问题做出指示,最终依照法规对“夸克”平台实施50万元罚款处罚,责令“网易CC”暂停“舞蹈”版块信息更新7日,同时责令2家平台立即全面深入整改,严肃处理相关责任人。

华美银行因“生产数据安全管控不足”被罚60万元

11月13日,国家金融监管总局网站显示,华美银行(中国)有限公司因“生产环境安全管控不足”和“生产数据安全管控不足”被责令整改,并处罚款60万元人民币。据国家金融管理总局官网查询,这是外资银行公开可查询的首张类似罚单,亦是华美银行在华经营以来首张监管罚单。

浙江某大药房因违反数据安全法被罚110万元

浙江温州公安网安部门查处了一起某大药房“内鬼”侵犯公民个人信息案。“内鬼”得到应有的法律处罚外,该大药房也因未履行数据保护义务造成数据泄露的违法行为被公安机关罚款110万元。

新疆银行多名高管因数据错报被罚130万元

新疆银行因严重错误报漏报EAST报表和监管统计报表数据,未将低风险业务纳入统一授信管理,被国家金融监督管理总局罚款130万元。银行因为EAST报表数据严重错报漏报可能面临多种惩罚,具体取决于监管机构的裁定和违规情节的严重程度。通常的惩罚包括罚款、警告、责令整改、暂停业务等。

上海银行涉及多项EAST数据漏报错报等行为,被罚1380万元

国家金融监督管理总局发布的行政处罚信息显示,上海银行因存在32项违法违规事实,被责令改正,共计被罚款1380万元。

上千员工利用非法软件培训考试作弊,普华永道被罚700万美元

根据PCAOB的公告,普华永道中国内地和香港分公司的1000多名员工在2018年至2020年期间涉及了不当的培训考试行为。监管机构指出,这些员工使用了两个未经授权的软件应用程序来进行“不当的信息共享”。作为了结指控的一部分,两家分公司同意支付总计700万美元的罚款。

四川省某单位互联网门户网站被攻击篡改

公安机关第一时间督促采取应急处置措施,并立案对该单位遭受攻击事件开展调查,通过工作发现,该单位信息系统未按规定设立防火墙,未安装网络流量监测软件,未记录网站访问日志,未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,网站建设完成至今,未更新安全策略、未落实等级测评等安全防护措施。公安机关根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定对负有主体责任的该单位作出罚款1万元,对直接责任人作出罚款5千元的行政处罚;对托管单位某公司作出罚款1万元、对直接责任人作出罚款5千元的行政处罚。

重庆科技公司存在数据泄露违规行为,被罚10万元

根据网信重庆的报道,近期渝中区网信办在重庆市网信办的指导下,依法对一家科技公司展开立案调查,该公司涉嫌违法违规行为,包括数据泄露等问题。根据上级部门移交的线索,渝中区网信办责令该公司在五天内进行整改,同时给予行政警告并处以10万元罚款。

前一篇全球1100万SSH服务器面临“水龟攻击”威胁
后一篇Mandiant推特账户被黑,双因素认证被绕过