給數據建設裝上"安全閥"

數據安全法填補了我國數據安全保護立法的空白，為建立健全數據安全治理體系指明了發展方向。不僅如此，數據安全法蘊含著眾多富有特色的首創性規定，為我國數據安全夯實了法治根基。本期法鑒帶領讀者從兩個案例透視數據安全法的實踐運用——

案例1

廣東首例適用數據安全法案件

2022年7月26日，廣州市公安局新聞辦公室召開新聞發布會，通報2022年廣州民生實事“個人信息超范圍采集整治治理”專項工作和“凈網2022”專項行動中，全鏈條打擊侵犯公民個人信息等突出網絡違法犯罪的相關情況和典型案例。其中，廣州警方公布了廣東省公安機關首例適用《中華人民共和國數據安全法》的案件：廣州一公司未履行數據安全保護義務被警方處罰5萬元。

從2021年10月下旬開始，廣州市某公司陸續收到合作方駕校及當地運營部門投訴，有第三方人員冒充該公司工作人員，自稱可以繞開該公司開發的“駕培平臺”配套的車載終端打卡機制，讓駕校學員在不到現場練車的情況下，在系統完成練車學時的累積，從而完成監管部門對駕考練車學時的嚴格要求。

廣州警方經深入研判，挖出一作案團伙。該團伙通過技術手段非法破解“駕培平臺”系統，將虛假的培訓數據包發送至平臺服務器，對學員的學時進行修改，以達到幫助學員快速完成培訓和駕校快速盈利的目的。該團伙的非法行為，嚴重危害道路交通安全，情節十分惡劣。

今年5月12日，廣州警方開展收網行動，抓獲包括技術開發和代理在內的3名犯罪嫌疑人，現場繳獲一批用于實施破壞信息系統行為的計算機設備。經初步統計，該案共涉及30余間駕校、90余臺駕校教練車培訓終端、5000余名駕校學員，該團伙牟利約35萬元。目前，案件正在進一步偵辦中。

在刑事打擊非法入侵駕培系統代刷學時案的同時，廣州警方對此案進行“一案雙查”。對上述公司的網絡系統全面開展網絡安全和數據安全檢查。

廣州警方檢查發現，該公司開發的“駕培平臺”存儲了駕校培訓學員的姓名、身份證號、手機號、個人照片等信息1070萬余條，但該公司沒有建立數據安全管理制度和操作規程，對于日常經營活動采集到的駕校學員個人信息未采取去標識化和加密措施，系統存在未授權訪問漏洞等嚴重數據安全隱患。系統平臺一旦被不法分子突破竊取，將導致大量駕校學員個人信息泄露，給廣大人民群眾個人利益造成重大影響。

根據《中華人民共和國數據安全法》的有關規定，廣州警方對該公司未履行數據安全保護義務的違法行為，依法處以警告并處罰款人民幣5萬元的行政處罰，開創了廣東省公安機關適用《中華人民共和國數據安全法》的先例，對數據安全治理作出了積極探索和實踐。

說法

違反國家規定，擅自提供專門用于侵入、非法控制計算機信息系統的程序、工具，或者非法獲取計算機信息系統數據的行為涉嫌違法犯罪，切勿以身試法。駕校學員切勿貪圖一時方便，使用來歷不明的程序繞過駕考練車線上學習，可能存在個人信息被倒賣的風險。

網絡安全事關國家安全，所有單位與個人都有保護數據安全的責任與義務，特別是持有、掌握大量公民個人信息的單位，更應該嚴格依法采取保護措施，有效保障公民個人信息安全。 來源：廣州日報

案例2

我國首例涉案數據被鑒定為情報案件

2021年底，國家安全機關破獲了一起為境外刺探、非法提供高鐵數據的重要案件。該案是《中華人民共和國數據安全法》實施以來，首例涉案數據被鑒定為情報的案件，也是我國首例涉及“高鐵運行安全”的危害國家安全類案件。

2020年底，上海某信息科技公司接受了一家境外公司的委托，對中國的鐵路網絡進行調研，但項目實際涉及中國鐵路信號數據。法務曾經告訴他們，這些數據的流出是不可控的，有可能會危害到我們的國家安全，所以建議要謹慎考慮開展這次合作。

為了規避可能的法律風險，雙方約定了兩個階段的合作：第一階段由上海這家公司按照對方要求購買、安裝設備，在固定地點采集3G、4G、5G、Wi-Fi和GSM-R信號數據;第二階段進行移動測試，由上海公司的工作人員攜帶相關設備到對方規定的北京、上海等16個城市及相應高鐵線路，進行移動測試和數據采集。然而，在雙方的合同中，合作涉及的這些具體又敏感的內容完全沒有被提及。

經鑒定，該公司為境外公司搜集、提供的數據涉及鐵路GSM-R敏感信號。GSM-R是高鐵移動通信專網，直接用于高鐵列車運行控制和行車調度指揮，是高鐵的“千里眼、順風耳”，承載著高鐵運行管理和指揮調度等各種指令。境內公司的行為是數據安全法、無線電管理條例等法律法規嚴令禁止的非法行為。相關數據被國家保密行政管理部門鑒定為情報，相關人員的行為涉嫌刑法第111條規定的為境外刺探、非法提供情報罪。

說法

不法分子如果非法利用數據故意干擾或惡意攻擊，將對鐵路運營構成重大威脅。同時，大量獲取分析相關數據，還有高鐵內部信息被非法泄露甚至利用的風險。數據安全法第二十一條規定：“國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。”

相關企業應當從多個維度對數據合規工作進行部署，尤其要確保與數據資產相關的商業模式合規性，區分國家核心數據、重要數據和一般數據，制定不同的審查規則力。 來源：央視網