清华大学发布《数据安全法》生效以来行政执法情况报告

安全419关注到， 清华大学智能法治研究院近日发布一份报告，较为全面地统计分析了自2021年9月1日《数据安全法》生效以来，截至2023年6月17日报告发布，这期间的行政执法情况，结合公开渠道积累的《数据安全法》实施案例，总结实务中适用法律的主要情况和存在的问题。
 
报告数据显示，公开发布依据《数据安全法》作出行政处罚决定典型案例有34起，2021年数据安全领域的行政执法案例共4起、2022年案例共7起、2023年1月至6月案例共23起。
 


案例主要存在问题可以从维护数据主权的国家视角、提升企业竞争力并促进数字经济发展的企业视角和维护个人数据权利的个人视角进行分类分析总结。
 
一、国家数据安全
 
在国家数据主权和数据安全层面，数据处理者未遵守数据交易安全的规定，擅自向境外提供重要数据。企业采集的部分数据可能属于国家重要情报，泄露该类数据将会危害国家安全。数据分类分级保护制度有待完善，需要加强对重要数据的保护。
 
1、数据情报泄露

2021年12月31日首例涉及高铁运行安全的危害国家安全类案件，该案件是《数据安全法》实施以来，首例涉案数据被鉴定为情报的案件，所涉及的是企业在数据处理过程中很可能会忽视的国家安全问题。
 
此案件涉及到数据出境安全评估的问题。数据处理者若向境外提供在我国境内收集和产生的重要数据，应当开展数据出境风险自评估，并通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
 
2、数据违法出境

2021年3月，马斯克承认特斯拉车内的摄像头可以监测车主，而民众更大的担忧来自特斯拉数据存储于海外服务器，可能导致国家安全信息、地理信息等关键敏感数据泄露。5月25日，特斯拉官方称：已经在中国建立数据中心，以实现数据存储本地化，并将陆续增加更多本地数据中心。
 
该案件涉及到重要数据安全的问题。首先，重要数据的范围界定存在困难；其次，《数据安全法》多为原则性的规定，增加了企业的合规成本。
 
二、企业数据安全
 
在企业数据安全层面，案涉企业未及时落实数据安全管理制度和操作规程，未对单位员工开展正规的数据安全人才培训，未落实网络安全等级保护制度，系统存在未授权访问漏洞（比如办公电脑未设置开机密码等问题），缺少数据安全风险评估和监测以及应急处置制度，系统存在重大数据安全隐患。
 
1、未完全执行数据安全保护措施

2023年4月3日，新安县公安局网安部门接上级下发线索：新安县经济技术开发区某平台数据库疑似发生数据泄露事件。我局网安部门在市局的现场指导下立即对该公司进行了相关检查，调查发现该平台上线运行后未关闭免登录访问漏洞，存在重大网络安全隐患，导致平台数据泄漏。
 
在此类案例中，数据处理者应当搭建完善的数据安全管理制度，从网站技术搭建、员工教育培训、风险评估和监管、安全维护等多方面保证数据安全。
 
2、未经授权将政务数据上传云平台导致泄露   

2023年6月16日，公安部网安局发布一则案例，浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。
 
政务数据往往由政府职能部门委托外部组织开发运营的系统进行采集、存储和利用，但是其初始控制权归属于政府职能部门，受托组织未经授权披露数据属于违约违法行为，导致数据泄露的应当承担数据安全责任。
 
3、未履行个人信息权利保护义务     

2022年2月，广州警方检查发现，广州某公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条，但该公司没有建立数据安全管理制度和操作规程，对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施，系统存在未授权访问漏洞等严重数据安全隐患。一旦被不法分子突破窃取，将导致大量驾校学员个人信息泄露，给广大人民群众个人利益造成重大影响。
 
在此类案例中，企业应当履行个人信息权利保护义务，即对以电子方式存储在企业平台的公民个人信息存在安全保护义务。
 
三、违规收集个人数据与数据泄露风险
 
在敏感个人信息层面，敏感个人信息主要包括姓名、性别、身份证号、用药情况等。互联网平台过度收集个人敏感数据造成数据垄断。数据处理者未履行数据安全保护义务，未采取任何防篡改、防泄漏、防侵入等技术措施，未对敏感数据采取去标识化和加密措施等技术保护措施，导致平台数据泄漏或存在数据泄露风险。
 
1、违规收集个人数据

2021年7月，网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查，该公司共存在16项违法事实，归纳起来主要是8个方面：违法收集用户手机相册中的截图信息；过度收集用户剪切板信息、应用列表信息；过度收集乘客人脸识别、年龄段、职业、亲情关系、“家”和“公司”打车地址信息；过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息；过度收集司机学历信息，以明文形式存储司机身份证号信息；在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息；在乘客使用顺风车服务时频繁索取无关的“电话权限”；未准确、清晰说明用户设备信息等19项个人信息处理目的。
 
此类案例涉及到敏感数据识别与违规收集的问题。《数据安全法》未规定不同行业数据合规的具体性要求，企业缺少相关的数据合规指引标准，监管部门也难以适用该法律指导企业数据合规体系建设。立法机关应当针对不同领域的数据合规标准作出更为详细具体的规定，完善行政监管法规，由有关部门指导企业根据《个人信息保护法》《数据安全法》《常见类型移动互联网应用程序必要个人信息范围规定》等规定构建数据合规体系，培养数据合规人才，以此控制数据处理法律风险。
 
2、存在数据泄露风险

2023年2月，湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据，存在数据泄露风险。经查，该公司服务器短时间内存在大量登录失败，被恶意用户暴力破解账户密码痕迹。同时，服务器内安装的ElasticSearch软件，可通过互联网在无需账号密码条件下直接访问系统内敏感数据。
 
此类案例涉及到敏感数据泄露风险的问题。企业面临内部和外部双重数据泄露风险，在实务中，数据泄露案例涉及到敏感数据安全的法律适用位阶、数据泄露通知义务等问题。数据处理者应当在发生数据泄露事件后的规定期限内通知主管机关并采取补救措施，主管机关需要检查数据泄露的起因，即数据处理者是否履行了数据安全保障义务。
 
就《报告》观察，数据安全在我国仍面临较大的挑战，数据处理者应当加强数据安全保护力度，落实总体国家安全观，切实履行数据安全保护义务，构建数据安全管理制度，维护国家安全和社会稳定。