網絡安全處罰事件

網絡安全事件，尤其是導致大規模數據泄露的違規事件，不但給企業帶來巨額財務和品牌損失，導致客戶信任流失，同時也意味著來自監管部門的巨額罰單以及包括安全整改、停業整頓和吊銷營業執照在內的嚴厲處罰。

2022年，隨著網絡安全法、數據安全法、個人信息保護法等安全法規的相繼出臺和施行，對網絡安全違規事件的處罰力度也不斷創下新高，例如滴滴因威脅關鍵基礎設施安全被處罰80.26億元，Meta因泄露5.33億用戶數據收到2.65億歐元罰單。

數據泄露等重大網絡安全事件往往是對歷史錯誤的不斷重復。因此，以史為鑒，可以幫助我們從過去的數據泄露事件中吸取寶貴經驗教訓。

Cosmote因2020年數據泄露事件被罰款600萬歐元

2月，希臘最大的移動運營商Cosmote因在數據泄露事件后違反數據保護法被希臘數據保護局（HDPA）罰款600萬歐元。2020年該公司受到網絡攻擊，480萬客戶個人數據被盜。監督機構發現，Cosmote沒有將其母公司OTE Group包括在調查中，也沒有實施足夠的數據保護政策和程序。OTE集團還因缺乏適當的安全措施導致訂戶呼叫數據泄漏而被罰款325萬歐元。

Clearview AI因收集意大利用戶生物特征遭罰2000萬歐元

意大利隱私保護（GPDP）對Clearview AI處以2000萬歐元罰款，控訴其未經同意對用戶的生物特征進行監控收集。此監控項目始于去年2月，共收集100億份人臉數據，其中大量是在線收集的意大利用戶信息。GPDP發現違規行為后，發出2000萬歐元罰單，并勒令Clearview刪除意大利用戶數據，Clearview則辯解稱20年3月與意大利的服務就已中斷，此事與他們無關，并對歐洲IP進行屏蔽。

OPM被罰6300萬美元

美國個人管理辦公室（OPM）是一家為聯邦政府雇員提供人力資源的聯邦機構，2015年，OPM披露遭遇一系列國家黑客組織攻擊，導致了近2200萬人的個人數據泄露。7月5日，OPM同意為上述近十年前發生的數據泄露事件支付6300萬美元。眾議院委員會對OPM黑客攻擊事件進行的調查顯示，OPM最早的已知數據泄露發生在2013年11月，該機構的系統至少自2005年以來很容易受到黑客襲擊。該報告還指出，數據泄露是一種（安全）文化缺失和領導失敗的結果。

滴滴違反網絡安全法規被罰80.26億元

7月21日，國家互聯網信息辦公室對滴滴處以人民幣80.26億元罰款，對滴滴董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。據國家網信辦通報，滴滴公司違反《網絡安全法》（2017年6月實施）、《數據安全法》（2021年9月實施）、《個人信息保護法》（2021年11月實施）的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣。

經查明，滴滴公司共存在16項違法事實。根據國家網信辦通報，滴滴公司還存在嚴重影響國家安全的數據處理活動，拒不履行監管要求，給國家關鍵信息基礎設施安全帶來嚴重安全風險隱患。

建行因信息安全等問題被罰50萬 責任人被禁業10年

2022年7月28日，上海銀保監局對建行上海市分行開出1張罰單。行政處罰信息顯示，中國建設銀行上海市分行因在2018年4月至2018年10月，存在信息安全和員工行為管理嚴重違反審慎經營規則，被責令改正，并被罰款50萬元。

T-Mobile為數據泄露事件支付3.5億美元

8月初，美國移動通信巨頭T-Mobile同意支付2021年大規模數據泄露事件后的索賠、法律費用和管理費用，共計支付3.5億美元。該數據泄露事件暴露了估計7600萬人的個人信息，包括客戶名稱，社會保險號，電話號碼，地址和出生日期。除向受影響客戶的現金支付外，T-Mobile還同意投資1.5億美元來加強其數據安全。

摩根士丹利支付3500萬美元罰款

9月，跨國銀行業務巨頭摩根士丹利因未能安全更換公司硬盤驅動器和服務器而被SEC罰款3500萬美元，該事件導致了大約1500萬客戶的個人數據泄露。從2015年開始的五年中，該銀行不當處理了數千份包含個人身份信息（PII）的設備，并且在互聯網拍賣網站上的第三方轉售了一些設備，但未檢查設備中的客戶數據是否已刪除。摩根士丹利為該事件的罰款和數據安全訴訟賠償總計支付了大約1.2億美元。

WhatsApp因違反GDPR被罰款2.25億歐元

WhatsApp因未能履行GDPR透明度義務而被愛爾蘭數據保護委員會(DPC)處以創紀錄的2.25億歐元罰款。此外還進行了譴責和“命令WhatsApp通過采取一系列特定的補救措施使其處理合規”。

美團壟斷，被罰！

2018年以來，美團濫用在中國境內網絡餐飲外賣平臺服務市場的支配地位，以實施差別費率、拖延商家上線等方式，促使平臺內商家與其簽訂獨家合作協議，并通過收取獨家合作保證金和數據、算法等技術手段，采取多種懲罰性措施，保障“二選一”行為實施，排除、限制了相關市場競爭，妨礙了市場資源要素自由流動，削弱平臺創新動力和發展活力，損害平臺內商家和消費者的合法權益，構成《反壟斷法》第十七條第一款第（四）項禁止“沒有正當理由，限定交易相對人只能與其進行交易”的濫用市場支配地位行為。

根據《反壟斷法》第四十七條、第四十九條規定，綜合考慮美團違法行為的性質、程度和持續時間等因素，2021年10月8日，市場監管總局依法作出行政處罰決定，責令美團停止違法行為，全額退還獨家合作保證金12.89億元，并處以其2020年中國境內銷售額1147.48億元3%的罰款，計34.42億元。

Solarwinds為供應鏈攻擊集體訴訟支付2600萬美元

根據10月28日美國SEC公布的文件，總部位于美國的IT管理解決方案提供商Solarwinds與軟件供應鏈攻擊受害者的集體訴訟達成和解協議，將支付2600萬美元。

這次攻擊影響了全球數千名Solarwinds的客戶，包括網絡安全公司FireEye和多個美國政府機構，例如國土安全部和財政部。美國政府將黑客歸因于俄羅斯軍事黑客。和解協議仍然需要得到法院的批準。除此之外，Solarwinds還因“網絡安全披露和公共聲明及其內部控制和披露控制和程序”面臨聯邦當局的執法行動。

5.33億用戶數據泄露，Meta被罰2.65億美元

2021年4月14日，5.33億Facebook用戶的數據被發布在一個著名的黑客論壇，暴露的數據包括個人信息，例如手機號碼、Facebook ID、姓名、性別、位置、關系狀態、職業、出生日期和電子郵件地址。愛爾蘭數據保護委員會(DPC)對Meta啟動了GDPR違規調查，被罰款2.65億歐元。

湖南網信部門開出數據安全領域行政執法罰單

2022年11月19日，在湖南省網信辦的指導下，湘西州網信辦依法對湘西州某縣自來水公司作出行政處罰。這是《湖南省網絡安全和信息化條例》自今年1月1日起正式施行以來，湖南網信部門開出的首張罰單。

該縣自來水公司繳費系統因未采取相應防護措施履行數據安全保護義務，違反《湖南省網絡安全和信息化條例》。湘西州網信辦依據規定，對該縣自來水公司予以警告和責令整改，并對公司法人作出罰款的行政處罰。該自來水公司負責人表示，真誠接受行政處罰，并按要求全面整改。

因敏感數據存泄露風險、外包管理不當、瞞報事件，盤錦銀行銀行被罰140萬

11月4日，據遼寧銀保監局發布的89號行政處罰決定書顯示，盤錦銀行因存在監管要求落實嚴重不到位、敏感數據信息存在泄露風險、外包管理職責存在缺失、瞞報信息系統突發事件等違法違規行為，被罰140萬元。

違規處理政務類數據，某科技公司違反《數據安全法》被行政處罰

某科技公司在處理政務類數據時違規操作，且未采取相應的技術措施和其他必要措施保障數據安全，導致數據存在泄露風險。上海網信辦依據《中華人民共和國數據安全法》對該公司責令改正，給予警告，并處以人民幣五萬元罰款的行政處罰。

教育技術提供商Chegg因多次數據泄露遭FTC起訴

美國聯邦貿易委員會（SEC）就LAX數據安全實踐提出了對教育技術供應商Chegg的投訴。自2017年以來，該公司發生了四次數據泄露，大約4000萬客戶和員工暴露了個人信息。Chegg在2017年9月首次遭到入侵，源于針對多名員工的釣魚攻擊；2018年4月，某前承包商使用登錄信息訪問了包含數百萬用戶數據的存儲桶；一年后，Chegg某高管的憑據在一次釣魚攻擊中被盜導致數據泄露；又過了12個月，另一名Chegg員工遭到釣魚攻擊。

FTC投訴稱，這些泄露事件都是若干不良的數據安全實踐的結果。FTC要求Chegg加強其數據安全性，限制其可以收集和保留的數據，為用戶提供多因素身份驗證以保護其帳戶，并允許用戶訪問和刪除其數據。

西班牙沃達豐接到“背靠背”罰單，支付394萬歐元

繼2021年因不當處理個人數據被西班牙數據保護局（AEPD）罰款815萬歐元后，2022年西班牙移動電信運營商沃達豐（VodafoneEspa?a）西班牙再次接到AEPD 394萬歐元的罰單，理由是未能采取適當的安全措施以防止SIM卡欺詐復制（SIM交換）。AEPD發現沃達豐采取的安全措施不足，并且該公司沒有實施有效的GDPR合規性和管理模型來最大程度地減少身份盜用的風險。

法國Dedalus Biologie因大規模健康數據泄露被罰款150萬歐元

法國公司Dedalus Biologie是一家醫學分析實驗室軟件解決方案提供商，其客戶涉及約3000個私人醫學生物學實驗室、30到50個公共衛生機構的分析實驗室。該公司在2021年的數據泄露事件中暴露了近50萬人的健康信息。經法國數據保護局（CNIL）調查，Dedalus作為數據處理者違反了GDPR規定的多項義務，特別是個人數據安全保護義務。CNIL下設處罰機構審查委員會根據Dedalus的營業額以及違規行為的嚴重程度，最終于2022年4月15日對其作出罰款150萬歐元的處罰決定。

2022年曝出的多起引發廣泛關注的數據泄露、非法收集和使用個人數據信息事件，無疑給各個企業敲響了警鐘。維護網絡安全、保護數據安全等是公司業務發展的核心要素之一，數據防泄露安全合規是企業生存發展的必然選擇。網絡安全、數據安全關乎人民群眾切身利益，關乎國家安全和社會穩定，國家出臺的各項法律法規針對數據安全保護義務履行不力，造成重要數據泄露風險的違法違規行為加強了監督檢查和執法，企業和個人也應提高網絡安全意識，防范未然，盡可能提前拔除網絡安全隱患，給損失降到最低，共同營造安全穩定的網絡環境。