21世纪经济报道记者郑雪实习生吕广龙北京报道
数字经济 发展时代,数据正逐渐成为企业市场竞争中珍贵的财富。流通中的数据在创造海量价值的同时,其安全也面临着挑战:数据泄露频发,更加复杂的业务模式和生态场景,更加复杂的数据处理过程,这一切都对 数据安全 有了更高的要求。
2021年9月1日,数据领域的条件性法律《 数据安全 法》正式实施。 数据安全 跳出传统攻防防护,不仅强调数据全生命周期的安全,同时也关注数据的流通利用和价值的施展。数据已经不只是数据, 数据安全 已经超出容易的数据产业经济发展范畴,数据的主权和国家安全等也成为数据发展进程中需要关注的内容。
数据安全 现状如何?《 数据安全 法》实施之后,执法如何落地?展现出哪些特点?南方财经合规科技研究院梳理了《 数据安全 法》颁发两年以来,适用《 数据安全 法》的相关执法案例,希望厘清《 数据安全 法》在实践中的适用情况,探究国内 数据安全 保护现状。
在南方财经合规科技研究院的不完全统计中,通过公开渠道共搜集到了28份数据泄露的案例。通过对这些案例法律依据、处罚措施、地域分布等方面分析,当前适用《 数据安全 法》的案例主体多见于平淡日子里的实体店铺,如饰品店、足浴店等,处罚措施多为警告、整改、罚款等。
数据安全 立法迅速推进安全隐患监管依据确立
数字经济 时代,数据本身价值逐渐凸显,也引起了多方关注。 海量数据 汇聚,数据价值凸显更加明显。数据不仅关乎企业生产,某种水平上而言, 数据安全 也影响着国家安全。数据蕴含的信息愈发重要。
于此同时, 数据安全 的重要性更加凸显。以往的围绕信息基础设施建设的 网络安全 体系不再适用当前情况,数据对于安全有了更高要求。
数据泄露事件时有发生,拥有 海量数据 的企业成为主要袭击目标。根据美国通讯运营商Verizon今年6月发布的年度数据泄露调查报告DBIR(2023 Data Breach Investigations Report),Verizon分析了16312起事件,其中5199起事件被定性为数据泄露事件;泄露事件统计覆盖了11个行业,其中泄露事件最多的三个行业分别是公共事务(582)、金融领域(477起)、信息技术(380起)。
不仅是产业和经济, 数据安全 更关切国家安全。2018年3月,美国通过《澄清域外合法使用数据法》(CLOUD Act),明确了美国执法机构在法定条件下调取美国公民存储在域外服务器中的Email、文档和其它通信内容的规则,国际 数据安全 的美国规则建立。同年5月,欧盟《通用数据保护条例》(GDPR)正式实施,只要处理的是欧盟境内居民的数据,均适用相关法规,对数据实施长臂管辖。
在中国,随着 数字经济 的发展,中国数字化进程飞速,积累 海量数据 , 数据要素 化也在不断加速。以数据立法规范数据活动,完善 数据安全 治理体系成为迫切需求。多重因素叠加之下,中国数据立法迅速推进。2020年7月,《 数据安全 法》(草案)公开征求建议;2021年4月,《 数据安全 法》(二审稿)正式发布并公开征求建议;同年6月7日,《 数据安全 法》(三审稿)提交审议,3天之后,《 数据安全 法》经十三届全国人大常委会第贰十九次会议表决通过,自2021年9月1日起施行,为国家重要数据保护和各行业 数据安全 隐患监管提供依据。 
《 数据安全 法》的监察管理范围为在中华人民共和国境内开展数据处理活动及其安全隐患监管。 数据安全 的概念也得以明确,通过采取必要措施,确保数据处于有效保护和合法利用的状态,和具备保障持续安全状态的能力。
这时,《 数据安全 法》对于数据处理者的 数据安全 保护义务进行明确,建立了 数据安全 保护的各项基本制度,完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度,形成了我国 数据安全 的顶层设计。
数据安全 法执法落地国家安全红线不可逾越
作为中国数据领域的条件性法律之一,两年时间内各地都逐渐出现了首例适用《 数据安全 法》的案例。
行政处理方面,记者梳理了《 数据安全 法》正式实施之后、公开发布的共28起相关案例。有完全根据《 数据安全 法》做出的处罚,也有同时依据多项法律(包含《 数据安全 法 》)做出的案例。
各地逐渐出现适用《 数据安全 法》的第壹例案例。如广州某科技公司向各地驾校提供的某驾培平台贮存处理了驾校培训学员的姓名、证件号、手机号、个人相片等公民个人信息数据被挂在外网售卖,该公司被广东警方根据《 数据安全 法》第四十五条第壹款规定警告、罚款。这是 广东省 首宗适用《 数据安全 法》进行执法的行政案件。
被处罚的原因主要分为四类。首先,因未履行 数据安全 保护义务而被处罚的案例最多,共有24个案例。因未履行 数据安全 保护义务最终造成数据泄露或存有数据泄露风险,也有一些数据是否泄露情况不明。其次,在相关案例梳理中,2个案例涉及侵害国家安全,综合了多项法律法规做出判决结果。三是数据泄露未采取有效措施1例。四是在有关机关调取相关数据时未能配合1例。 
相关案例梳理进程中,2例因涉嫌危害国家安全引人关注,分别为滴滴处罚案和国家安全机关侦办的一起上海公司向境外出售高铁数据案。
2022年7月,国家互联网信息办公室对滴滴做出的行政处理。滴滴共存在8个方面、16项违法事实,如违法收集、过度收集、未告知收集等与用户相关的各类信息;除此之外,滴滴公司存在严重影响国家安全的数据处理活动,和拒绝履行监管职能部门的明确要求,两面三刀、恶意逃避监管等其它非法问题。滴滴公司非法运营给国家关键信息基础设施安全和 数据安全 造成严重安全风险隐患。最终依据《 网络安全 法》《 数据安全 法》《个人信息保护法》《行政处理法》等有关规定,对滴滴做出80.26亿元罚款,对滴滴老总兼总裁程维、总裁柳青各处人民币100万元罚款。
另外一例为《 数据安全 法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。2022年据央视报道,上海两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥。境内公司的表现是《 数据安全 法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报,有关人员的表现涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪。
日常生活小店多受处罚,湖南执法案例最多
《 数据安全 法》等法规正逐渐进入日常生活。南方财经合规科技研究院梳理相关案例发现,一些涉及日常生活的中小企业,如足浴店、饰品店等,未对收集的个人信息进行加密、脱敏等处理,未尽到 数据安全 保护义务而触犯《 数据安全 法》相关条文。
相关事件是否造成数据泄漏?通过对28起案例分析,其中13起案件企业的相关行为或将造成数据泄漏风险,8起案件企业的相关行为造成了明确的数据泄漏,6起案例是否真实造成数据泄漏无法确定。 
相关案例的地域分布情况来看,其中来自 湖南省 的执法案例最多(11起),其次为江西(4起),江苏、广东各2例。 
相关案例的处罚措施来看,警告(22)、整改(16)、罚款(12)成为最主要的处罚措施,另外一公司责任人被约谈,也有有关人员被刑事追究责任。除上述处罚措施外,其中浙江某科技有限公司因违规将一县级市政府相关数据上传云端且未做安全防护造成数据泄露,该案件中针对建设单位失管失察、未履行 数据安全 保护职责的情景,当地纪委介入,对相关责任人追究问责(属其它类别)。上述提及的国内公司违规向境外出售高铁数据案件,因收集的数据被鉴定为情报,相关责任人被追究刑事责任。 
罚款数目方面,滴滴因其事件的特殊性,罚款80.26亿元;其余案例罚款金额在5万元至100万之间,其中浙江某科技有限公司因违规将一县级市政府相关数据上传云端且未做安全防护造成泄露,被罚款100万元人民币,为相关案例罚款金额最高。
执法监管方面,公安、网信、行业主管部门等依据《 数据安全 法》对相关不合规行为作出处罚。《 数据安全 法》来看,其确立了中央统筹的 数据安全 工作体制机制。同时规定工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域 数据安全 隐患监管职责。公安机关、国家安全机关等依照本法和相关法律、行政法规的规定,在各自职责范围内承担 数据安全 隐患监管职责。国家网信部门依照本法和相关法律、行政法规的规定,负责统筹协调网络 数据安全 和相关监管工作。 
适用法条方面,第贰十七条明确了企业 数据安全 保护的具体措施。第贰十九条强调数据全生命周期内对于数据泄露需要及时补救。第叁十条强调重要数据的处理者需要定期展开风险评估。第叁十一条对于关键基础设施的运营者和其它数据处理者在数据出境方面的相关义务。第叁十五条赋予执法机关调取相关数据的权限。第四十五条和第四十六条分别为详细的处罚措施。 
(制图:黄丹虹)
