給數(shù)據(jù)建設(shè)裝上"安全閥"

數(shù)據(jù)安全法填補了我國數(shù)據(jù)安全保護立法的空白，為建立健全數(shù)據(jù)安全治理體系指明了發(fā)展方向。不僅如此，數(shù)據(jù)安全法蘊含著眾多富有特色的首創(chuàng)性規(guī)定，為我國數(shù)據(jù)安全夯實了法治根基。本期法鑒帶領(lǐng)讀者從兩個案例透視數(shù)據(jù)安全法的實踐運用——

案例1

廣東首例適用數(shù)據(jù)安全法案件

2022年7月26日，廣州市公安局新聞辦公室召開新聞發(fā)布會，通報2022年廣州民生實事“個人信息超范圍采集整治治理”專項工作和“凈網(wǎng)2022”專項行動中，全鏈條打擊侵犯公民個人信息等突出網(wǎng)絡違法犯罪的相關(guān)情況和典型案例。其中，廣州警方公布了廣東省公安機關(guān)首例適用《中華人民共和國數(shù)據(jù)安全法》的案件：廣州一公司未履行數(shù)據(jù)安全保護義務被警方處罰5萬元。

從2021年10月下旬開始，廣州市某公司陸續(xù)收到合作方駕校及當?shù)剡\營部門投訴，有第三方人員冒充該公司工作人員，自稱可以繞開該公司開發(fā)的“駕培平臺”配套的車載終端打卡機制，讓駕校學員在不到現(xiàn)場練車的情況下，在系統(tǒng)完成練車學時的累積，從而完成監(jiān)管部門對駕考練車學時的嚴格要求。

廣州警方經(jīng)深入研判，挖出一作案團伙。該團伙通過技術(shù)手段非法破解“駕培平臺”系統(tǒng)，將虛假的培訓數(shù)據(jù)包發(fā)送至平臺服務器，對學員的學時進行修改，以達到幫助學員快速完成培訓和駕?？焖儆哪康?。該團伙的非法行為，嚴重危害道路交通安全，情節(jié)十分惡劣。

今年5月12日，廣州警方開展收網(wǎng)行動，抓獲包括技術(shù)開發(fā)和代理在內(nèi)的3名犯罪嫌疑人，現(xiàn)場繳獲一批用于實施破壞信息系統(tǒng)行為的計算機設(shè)備。經(jīng)初步統(tǒng)計，該案共涉及30余間駕校、90余臺駕校教練車培訓終端、5000余名駕校學員，該團伙牟利約35萬元。目前，案件正在進一步偵辦中。

在刑事打擊非法入侵駕培系統(tǒng)代刷學時案的同時，廣州警方對此案進行“一案雙查”。對上述公司的網(wǎng)絡系統(tǒng)全面開展網(wǎng)絡安全和數(shù)據(jù)安全檢查。

廣州警方檢查發(fā)現(xiàn)，該公司開發(fā)的“駕培平臺”存儲了駕校培訓學員的姓名、身份證號、手機號、個人照片等信息1070萬余條，但該公司沒有建立數(shù)據(jù)安全管理制度和操作規(guī)程，對于日常經(jīng)營活動采集到的駕校學員個人信息未采取去標識化和加密措施，系統(tǒng)存在未授權(quán)訪問漏洞等嚴重數(shù)據(jù)安全隱患。系統(tǒng)平臺一旦被不法分子突破竊取，將導致大量駕校學員個人信息泄露，給廣大人民群眾個人利益造成重大影響。

根據(jù)《中華人民共和國數(shù)據(jù)安全法》的有關(guān)規(guī)定，廣州警方對該公司未履行數(shù)據(jù)安全保護義務的違法行為，依法處以警告并處罰款人民幣5萬元的行政處罰，開創(chuàng)了廣東省公安機關(guān)適用《中華人民共和國數(shù)據(jù)安全法》的先例，對數(shù)據(jù)安全治理作出了積極探索和實踐。

說法

違反國家規(guī)定，擅自提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者非法獲取計算機信息系統(tǒng)數(shù)據(jù)的行為涉嫌違法犯罪，切勿以身試法。駕校學員切勿貪圖一時方便，使用來歷不明的程序繞過駕考練車線上學習，可能存在個人信息被倒賣的風險。

網(wǎng)絡安全事關(guān)國家安全，所有單位與個人都有保護數(shù)據(jù)安全的責任與義務，特別是持有、掌握大量公民個人信息的單位，更應該嚴格依法采取保護措施，有效保障公民個人信息安全。 來源：廣州日報

案例2

我國首例涉案數(shù)據(jù)被鑒定為情報案件

2021年底，國家安全機關(guān)破獲了一起為境外刺探、非法提供高鐵數(shù)據(jù)的重要案件。該案是《中華人民共和國數(shù)據(jù)安全法》實施以來，首例涉案數(shù)據(jù)被鑒定為情報的案件，也是我國首例涉及“高鐵運行安全”的危害國家安全類案件。

2020年底，上海某信息科技公司接受了一家境外公司的委托，對中國的鐵路網(wǎng)絡進行調(diào)研，但項目實際涉及中國鐵路信號數(shù)據(jù)。法務曾經(jīng)告訴他們，這些數(shù)據(jù)的流出是不可控的，有可能會危害到我們的國家安全，所以建議要謹慎考慮開展這次合作。

為了規(guī)避可能的法律風險，雙方約定了兩個階段的合作：第一階段由上海這家公司按照對方要求購買、安裝設(shè)備，在固定地點采集3G、4G、5G、Wi-Fi和GSM-R信號數(shù)據(jù);第二階段進行移動測試，由上海公司的工作人員攜帶相關(guān)設(shè)備到對方規(guī)定的北京、上海等16個城市及相應高鐵線路，進行移動測試和數(shù)據(jù)采集。然而，在雙方的合同中，合作涉及的這些具體又敏感的內(nèi)容完全沒有被提及。

經(jīng)鑒定，該公司為境外公司搜集、提供的數(shù)據(jù)涉及鐵路GSM-R敏感信號。GSM-R是高鐵移動通信專網(wǎng)，直接用于高鐵列車運行控制和行車調(diào)度指揮，是高鐵的“千里眼、順風耳”，承載著高鐵運行管理和指揮調(diào)度等各種指令。境內(nèi)公司的行為是數(shù)據(jù)安全法、無線電管理條例等法律法規(guī)嚴令禁止的非法行為。相關(guān)數(shù)據(jù)被國家保密行政管理部門鑒定為情報，相關(guān)人員的行為涉嫌刑法第111條規(guī)定的為境外刺探、非法提供情報罪。

說法

不法分子如果非法利用數(shù)據(jù)故意干擾或惡意攻擊，將對鐵路運營構(gòu)成重大威脅。同時，大量獲取分析相關(guān)數(shù)據(jù)，還有高鐵內(nèi)部信息被非法泄露甚至利用的風險。數(shù)據(jù)安全法第二十一條規(guī)定：“國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護?！?/p>

相關(guān)企業(yè)應當從多個維度對數(shù)據(jù)合規(guī)工作進行部署，尤其要確保與數(shù)據(jù)資產(chǎn)相關(guān)的商業(yè)模式合規(guī)性，區(qū)分國家核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，制定不同的審查規(guī)則力。 來源：央視網(wǎng)