2022年网络安全事件处罚盘点( 三 ) _泄露

文章插图
湖南网信部门开出数据安全领域行政执法罚单
2022年11月19日，在湖南省网信办的指导下，湘西州网信办依法对湘西州某县自来水公司作出行政处罚。这是《湖南省网络安全和信息化条例》自今年1月1日起正式施行以来，湖南网信部门开出的首张罚单。
该县自来水公司缴费系统因未采取相应防护措施履行数据安全保护义务，违反《湖南省网络安全和信息化条例》。湘西州网信办依据规定，对该县自来水公司予以警告和责令整改，并对公司法人作出罚款的行政处罚。该自来水公司负责人表示，真诚接受行政处罚，并按要求全面整改。
因敏感数据存泄露风险、外包管理不当、瞒报事件，盘锦银行银行被罚140万
11月4日，据辽宁银保监局发布的89号行政处罚决定书显示，盘锦银行因存在监管要求落实严重不到位、敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等违法违规行为，被罚140万元。
违规处理政务类数据，某科技公司违反《数据安全法》被行政处罚
某科技公司在处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。
教育技术提供商Chegg因多次数据泄露遭FTC起诉
美国联邦贸易委员会（SEC）就LAX数据安全实践提出了对教育技术供应商Chegg的投诉。自2017年以来，该公司发生了四次数据泄露，大约4000万客户和员工暴露了个人信息。Chegg在2017年9月首次遭到入侵，源于针对多名员工的钓鱼攻击；2018年4月，某前承包商使用登录信息访问了包含数百万用户数据的存储桶；一年后， Chegg某高管的凭据在一次钓鱼攻击中被盗导致数据泄露；又过了12个月，另一名Chegg员工遭到钓鱼攻击。
FTC投诉称，这些泄露事件都是若干不良的数据安全实践的结果。FTC要求Chegg加强其数据安全性，限制其可以收集和保留的数据，为用户提供多因素身份验证以保护其帐户，并允许用户访问和删除其数据。
西班牙沃达丰接到“背靠背”罚单，支付394万欧元
继2021年因不当处理个人数据被西班牙数据保护局（AEPD）罚款815万欧元后， 2022年西班牙移动电信运营商沃达丰（?a）西班牙再次接到AEPD 394万欧元的罚单，理由是未能采取适当的安全措施以防止SIM卡欺诈复制（SIM交换）。AEPD发现沃达丰采取的安全措施不足，并且该公司没有实施有效的GDPR合规性和管理模型来最大程度地减少身份盗用的风险。
法国因大规模健康数据泄露被罚款150万欧元
法国公司是一家医学分析实验室软件解决方案提供商，其客户涉及约3000个私人医学生物学实验室、30到50个公共卫生机构的分析实验室。该公司在2021年的数据泄露事件中暴露了近50万人的健康信息。经法国数据保护局（CNIL）调查，作为数据处理者违反了GDPR规定的多项义务，特别是个人数据安全保护义务。CNIL下设处罚机构审查委员会根据的营业额以及违规行为的严重程度，最终于2022年4月15日对其作出罚款150万欧元的处罚决定。
“
2022年曝出的多起引发广泛关注的数据泄露、非法收集和使用个人数据信息事件，无疑给各个企业敲响了警钟。维护网络安全、保护数据安全等是公司业务发展的核心要素之一，数据防泄露安全合规是企业生存发展的必然选择。网络安全、数据安全关乎人民群众切身利益，关乎国家安全和社会稳定，国家出台的各项法律法规针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强了监督检查和执法，企业和个人也应提高网络安全意识，防范未然，尽可能提前拔除网络安全隐患，给损失降到最低，共同营造安全稳定的网络环境