28 我国《数据安全法》生效以来行政执法情况报告 conv.docxVIP

我国《数据安全法》生效以来行政执法情况报告

《中华人民共和国数据安全法》（下文简称为《数据安全法》）自2021年6月

10日正式通过，于2021年9月1日正式生效。截止至2023年6月17日，我

们收集到行政机关依据《数据安全法》启动的系列执法通报，公开发布依据《数

据安全法》作出行政处罚决定典型案例34起。本文结合公开渠道积累的《数据

安全法》实施案例，总结实务中适用法律的主要情况和存在的问题。

1《数据安全法》执法通报情况

2021年以来，各级网信部门依法开展数据安全领域执法。针对滴滴企业版等25

款移动应用程序存在严重违法违规收集使用个人信息问题，依法通知应用商店下架相关应用，要求相关运营者严格按照法律要求，参照国家有关标准，认真整改

存在的问题，保障广大用户个人信息安全。针对“美原油”“链工宝”“快输入法”等

移动应用程序存在违法收集使用个人信息问题，依法对其采取下架处置措施。针

对“伴圈”“AI换脸相机”等多款新技术新应用未经评估上线且存在风险的移动应

用程序，依法予以下架处置。[1]2022年，国家网信办加强对地方网信部门工作

指导，持续加大数据安全领域的网络执法力度，依法查处人民群众反映强烈的、

存在以强制、诱导、欺诈等恶意方式违法违规处理个人信息行为的“超凡清理管

家”等294款APP。针对具有舆论属性或社会动员能力的“空空语音”等44款AP

P存在未按要求开展安全评估等违法违规行为，依法对其予以下架处置。[2]针对

“农天堂”等存在违法违规收集使用个人信息问题的移动应用程序，依法采取下架

处置。针对“光影换脸秀”“交友吧”“趣卡点”等新技术新应用未经评估上线且存在

安全风险的移动应用程序，依法予以下架处置。针对“B612咔叽”“一甜相机”“卡

通漫画脸”等应用程序中部分未经评估上线且存在安全隐患的功能，依法予以下

线处置。[3]

根据《数据安全法》执法通报情况，行政机关持续加大数据安全领域的网络执法力度，解决的数据安全领域执法的主要问题包括平台以强制、诱导、欺诈等恶意方式严重违法违规收集使用个人信息，未按要求开展安全评估且存在安全隐患问题等。

2《数据安全法》典型案例

截止至2023年6月17日，本文收集到行政机关适用《数据安全法》作出行政

处罚决定典型案例34起。本文所总结的行政处罚案件数据主要来源于国家互联

网信息办公室网站上的行政处罚决定记录以及微信公众号等媒体报道。根据本文

总结的典型案例情况，2021年数据安全领域的行政执法案例共4起、2022年案

例共7起、2023年1月至6月案例共23起。行政机关作出行政处罚的法律依

据为《数据安全法》第二十六条、第二十七条、第二十九条、第三十一条、第三十三条、第四十五条。

案例主要存在以下三方面问题：第一，在国家数据主权和数据安全层面，数据处理者未遵守数据交易安全的规定，擅自向境外提供重要数据。企业采集的部分数据可能属于国家重要情报，泄露该类数据将会危害国家安全。数据分类分级保护制度有待完善，需要加强对重要数据的保护。第二，在企业数据安全层面，案涉企业未及时落实数据安全管理制度和操作规程，未对单位员工开展正规的数据安全人才培训，未落实网络安全等级保护制度，系统存在未授权访问漏洞（比如办公电脑未设置开机密码等问题），缺少数据安全风险评估和监测以及应急处置制度，系统存在重大数据安全隐患。第三，在敏感个人信息层面，敏感个人信息主要包括姓名、性别、身份证号、用药情况等。互联网平台过度收集个人敏感数据造成数据垄断。数据处理者未履行数据安全保护义务，未采取任何防篡改、防泄漏、防侵入等技术措施，未对敏感数据采取去标识化和加密措施等技术保护措施，导致平台数据泄漏或存在数据泄露风险。

在处罚种类和处罚力度方面，行政机关对行政相对人的处罚种类为《数据安全法》

第46条[4]规定的罚款、行政警告处罚并责令限期改正。绝大多数案件未造成实

质性危害后果，处罚决定为行政警告处罚并责令限期改正。少数案涉企业造成了数据泄露或存在较大泄露风险的危害后果，行政机关作出的处罚决定为对企业处以罚款和对直接责任人处以罚款，行政处罚金额幅度为五万至二十万。

3行政执法案例分类总结

数据安全问题可以分为维护数据主权的国家视角、提升企业竞争力并促进数字经

[济发展的企业视角和维护个人数据权利的个人视角。5]本文将通过以上三个视角

[

汇总并分析执法案例的情况和存在的问题。

（一）国家数据安全

1、数据情报泄露[6]

2021年12月31日首例涉及高铁运行安全的危害国家安全类案件，该案件是《数

据安全法》实施以来，首例涉案数据被鉴定为情报的案件，所