一周安全漫谈丨工信部:拟定超1亿条一般数据泄露属后果严重情节

工信部：拟定超1亿条一般数据泄露属后果严重情节

11月23日，工信部官网公布《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》。

《裁量指引》征求意见稿明确了行政处罚由违法行为发生地管辖、一事不再罚等要求。明确了行政裁量权基准制定和管理过程需坚持依法行政、责罚相当、处罚与教育相结合等工作原则。

哪些情况会触发行政处罚？《裁量指引》给出了两类情况：一是数据安全行政处罚情形方面，以《数据安全法》为基准，《裁量指引》提出不履行数据安全保护义务、向境外非法提供数据、不配合监管等三类违法行为触发条件。其中不履行数据安全保护义务方面，包含未定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位具体目录；未建立数据全生命周期安全管理制度等情形。

二是综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素，对数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。其中，数据级别和数量划定上，参考1000万条以下、1000万条-1亿条、超1亿条的一般数据标准；参考2个以上数据处理者的重要数据、核心数据标准。直接经济损失的基准线为1000万元以内、1000万元-5000万元、超5000万元。

1000万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短，或直接经济损失在1000万元以内，属后果较轻情节。

超过1000万条一般数据被篡改、破坏、泄露或者非法获取、非法利用；或者涉及重要数据、核心数据的；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长，或直接经济损失超过1000万元且在5000万元以内的，属后果较重情节。

超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用；或者涉及2个以上数据处理者的重要数据、核心数据的；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长，或直接经济损失超过5000万元的，属后果严重情节。

行政执法机关可结合相关适用条件、根据《数据安全法》等具体条款，对相关主体作出不予处罚、从轻处罚、减轻处罚、从重处罚的决定，具体的处罚手段则包括责令改正、给予警告、罚款、暂停相关业务等。

这一《裁量基准》将为数据安全的监管提供更清晰的指引，有了《裁量基准》后，行政执法机关在数据安全管理方面也就有了一个更好的抓手，更加明确“谁来罚、怎么罚”的问题。

美国INL核安全国家实验室遭遇重大数据泄露事件

据多家媒体报道，美国能源部下属的一家核能国家实验室——爱达荷国家实验室(Idaho National Laboratory)在周一证实，确认遭到了黑客组织的SiegedSec的攻击，其Oracle HCM 系统的服务器被攻击者入侵，进而导致人力资源系统被攻击者非法访问，导致了严重的数据泄露。

作为美国能源部关键的核研究中心，爱达荷国家实验室主要研究下一代核电厂、轻水反应堆、控制系统网络安全、先进车辆测试、生物能源、机器人技术、核废料处理等前沿方向，此前该实验室还曾自称为“保障关键基础设施系统安全的世界领导者”。

据称，该实验室共有5700余名专门从事原子能、综合能源和国家安全的专家。而据SiegedSec在社交媒体上发布的信息显示，其已经获得了 INL 的数据访问权限，包括 "数十万" 员工、系统用户和公民的详细信息。包括姓名、出生日期、电子邮件地址、电话号码、社会保障号码（SSN）、家庭住址和就业信息等等。

据了解，SiegedSec是一个较为年轻的黑客团伙，自2022年初成立至今，全球范围内已有超过30家医疗保健、信息技术、保险等行业企业遭到攻击。涉及国家有印度、美国、巴基斯坦和菲律宾等。该组织会将盗取的数据和文件公开到黑客论坛中，似乎并不希望与受害者谈判或要求赎金。

在此次针对爱达荷国家实验室的攻击中，SiegedSec甚至还在 INL 的系统上创建了一个自定义公告，通知系统内的每个人这次的数据泄露事件。这一行为或许是以“炫技”为目的。

爱达荷国家实验室称，目前包括联邦调查局和国土安全部的网络安全和基础设施安全局，以调查此次事件中受影响的数据范围。虽然SiegedSec 既未访问也未披露任何有关核研究的数据，但显然相关执法机构会展开一次严格的审查。

有专家称，类似的安全事件大多源于网络钓鱼攻击，传统的多因素身份验证（MFA）往往是罪魁祸首。组织和企业都应该对身份安全威胁提高警惕。