数据安全法填补了我国数据安全保护立法的空白,为建立健全数据安全治理体系指明了发展方向。不仅如此,数据安全法蕴含着众多富有特色的首创性规定,为我国数据安全夯实了法治根基。本期法鉴带领读者从两个案例透视数据安全法的实践运用——
给数据建设装上"安全阀"
广东首例适用数据安全法案件
2022年7月26日,广州市公安局新闻办公室召开新闻发布会,通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。
从2021年10月下旬开始,广州市某公司陆续收到合作方驾校及当地运营部门投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员在不到现场练车的情况下,在系统完成练车学时的累积,从而完成监管部门对驾考练车学时的严格要求。
广州警方经深入研判,挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统,将虚假的培训数据包发送至平台服务器,对学员的学时进行修改,以达到帮助学员快速完成培训和驾校快速盈利的目的。该团伙的非法行为,严重危害道路交通安全,情节十分恶劣。
今年5月12日,广州警方开展收网行动,抓获包括技术开发和代理在内的3名犯罪嫌疑人,现场缴获一批用于实施破坏信息系统行为的计算机设备。经初步统计,该案共涉及30余间驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。目前,案件正在进一步侦办中。
在刑事打击非法入侵驾培系统代刷学时案的同时,广州警方对此案进行“一案双查”。对上述公司的网络系统全面开展网络安全和数据安全检查。
广州警方检查发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。
根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。
违反国家规定,擅自提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者非法获取计算机信息系统数据的行为涉嫌违法犯罪,切勿以身试法。驾校学员切勿贪图一时方便,使用来历不明的程序绕过驾考练车线上学习,可能存在个人信息被倒卖的风险。
网络安全事关国家安全,所有单位与个人都有保护数据安全的责任与义务,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。 (来源:广州日报)
我国首例涉案数据被鉴定为情报案件
2021年底,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。该案是《中华人民共和国数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及“高铁运行安全”的危害国家安全类案件。
2020年底,上海某信息科技公司接受了一家境外公司的委托,对中国的铁路网络进行调研,但项目实际涉及中国铁路信号数据。法务曾经告诉他们,这些数据的流出是不可控的,有可能会危害到我们的国家安全,所以建议要谨慎考虑开展这次合作。
为了规避可能的法律风险,双方约定了两个阶段的合作:第一阶段由上海这家公司按照对方要求购买、安装设备,在固定地点采集3G、4G、5G、Wi-Fi和GSM-R信号数据;第二阶段进行移动测试,由上海公司的工作人员携带相关设备到对方规定的北京、上海等16个城市及相应高铁线路,进行移动测试和数据采集。然而,在双方的合同中,合作涉及的这些具体又敏感的内容完全没有被提及。
经鉴定,该公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号。GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是数据安全法、无线电管理条例等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报,相关人员的行为涉嫌刑法第111条规定的为境外刺探、非法提供情报罪。
不法分子如果非法利用数据故意干扰或恶意攻击,将对铁路运营构成重大威胁。同时,大量获取分析相关数据,还有高铁内部信息被非法泄露甚至利用的风险。数据安全法第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”
相关企业应当从多个维度对数据合规工作进行部署,尤其要确保与数据资产相关的商业模式合规性,区分国家核心数据、重要数据和一般数据,制定不同的审查规则力。 (来源:央视网)
主管单位 重庆市人大常委会
出版发行 公民导刊杂志社
指导委员会顾问 王炯 张鸣
指导委员会主任 周少政
指导委员会副主任 张晓涛 邓炳国 李洪亮 邓茂强(执行)
指导委员会委员 陈彬 黄玉林 陈胜才 杨树海 屠锐 黄宗华
蹇泽西 陈杰 向先全 张良皓 刘俊 陈小敏
副总编辑 高超 杨冰
电话 (023)63652539 | 传真 (023)63652587
电子邮箱 gmdkbjb@163.com
地址:重庆市两江新区恒明路1号 | 邮编:401121
Copyright ©2021 - 2025 cqrd.gov.cn, All Rights Reserved