安全419年度盘点 | 2021全国数据泄露大事记

2021年，商业数据及个人隐私数据泄露事件不断地登上新闻头条，涉及面广，影响力大，各行业企业因此陷入数据保护合规与社会舆情压力的双重危机。究其原因，数字化转型进入深水区，海量数据迅速集聚，信息开放程度持续扩大，数据价值愈发凸显，然而企业的数据安全意识与能力普遍落后于其数据业务的发展，随之引发大量过度采集、无序滥用、非法共享、恶意泄露等等严峻安全事故。也正是在2021年，《数据安全法》《个人信息保护法》以及各行业、各地区的配套管理条例相继出台并施行，给企业带上数据安全保护的紧箍咒，过去“信息裸奔”的泛滥状态必须刹车，以安全筑底保障数字经济的良性发展。安全419根据公开报道事件整理盘点出2021年发生在全国各行业比较有代表性的数据泄露事件，警钟长鸣，防范于未然。

 

1月5日，国外安全研究团队Cyble发现多个帖子正在出售与中国公民有关的个人数据，经分析可能来自微博、QQ等多个社交媒体，本次发现的几个帖子中与中国公民有关的记录总数超过2亿。

 

1月8日，杭州互联网法院公开审理并宣判全国首例适用民法典的个人信息保护案。被告孙某未经他人许可，在互联网上公然非法买卖、提供个人信息4万余条，导致相关人员信息长期面临受侵害风险，被判处赔偿违法所得34000元，并公开道歉。

 

1月8日，有人在某国外论坛中发帖售卖国内某银行1679万笔数据，并放出部分数据样本，数据包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。

 

1月15日，中国裁判文书网公布一份判决书，北京智借公司、贤某某等在未取得受害人同意的情况下，向下游多家公司出售包含姓名、身份证号、手机号等个人信息，因犯侵犯公民个人信息罪，被判处罚金320万元。买房涉及平安普惠、拍拍贷、你我贷等多家知名公司。

 

1月24日，镇江丹阳警方侦破一起公安部督办的侵犯公民个人信息案，涉及10多个省市，抓获犯罪嫌疑人30名。该团伙采用境外聊天工具和区块链虚拟货币收付款，共贩卖个人信息6亿余条，违法所得800余万元。

 

1月31日，央视节目中专家用模拟“App偷听测试程序”发送一个2秒的语音，当手松开后，录音仍在继续，并生成一条120秒的语音，证实了当测试程序置于前台运行时，偷听是可以实现的。此外经过对比实验，发现在测试程序退至后台或在手机锁屏时，录音依然可持续一段时间。

 

3月2日，西山居游戏发公告称，西山居旗下产品屡遭不法分子DDos攻击、服务器入侵，导致部分用户账号和加密后的非明文密码等信息外泄，官方建议第一时间修改安全等级偏低的短位密码。

 

3月3日，南通通州公安对全国首例利用微信“清粉”软件非法获取微信用户信息案进行宣判。被害用户扫描“清粉”二维码为了给微信通讯录“瘦身”，不料个人信息泄露。八名被告人则以刷阅读量、售卖微信群聊二维码等方式非法获利200多万元。

 

3月15日，央视315曝光三个涉及个人信息安全案例：商家安装摄像头捕捉记录顾客人脸信息，多门店共享并进行综合报价；智联招聘、猎聘等平台简历给钱就可随意下载，大量简历流入黑市；许多针对老年人开发的手机清理App背地里不断获取手机信息，并推送带有欺骗套路的内容。

 

3月19日，银保监会消保局公布的罚单显示中信银行被处以450万元罚款。有消息称，该罚单疑似为2020年5月，脱口秀艺人池子举报中信银行违规私自对外提供其银行流水信息事件的处罚结果。

 

6月3日，商丘市睢阳区人民法院公开一份刑事判决书，被告人逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计11.81亿条，将其中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某用于商业营销，共获利34万元。

 

8月3日，广东省人民检察院发布个人信息保护公益诉讼典型案例，广东湛江技术开发区某银行客户经理王某非法出售其在业务活动中获取的客户账户信息共31465条，被相关贷款公司从事不正当竞争。湛江银保监分局以涉案银行对客户信息安全管理不到位的案由作出罚款20万元的行政处罚，对王某作出禁止从事银行业工作1年的行政处罚。

 

8月4日，上海市市场监督管理局网站发布行政处罚消息，科勒(中国)投资有限公司因在2020年2月至2021年3月期间未经消费者同意擅自在门店安装摄像设备抓取人脸信息，违反《中华人民共和国消费者权益保护法》相关规定，被上海市静安区市场监督管理局罚款50万元，并责令改正。

 

8月23日，一份浙江省通信管理局编号为【2021】483号的答复函引发关注，阿里云计算有限公司未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司。对此，浙江省通信管理局回应称已责令改正，阿里云称系一名电销员工违反公司纪律透露给分销商员工，已严肃处理、积极整改。

 

8月29日，重庆市市场监督管理局发布的(2021)75号行政处罚决定书披露，重庆新东方教育培训学校有限公司渝北区分公司未经消费者同意，非法收集、使用1053条消费者个人信息。重庆市市场监督管理局对其罚款34万元，并责令其消除影响。

 

9月1日，上海市奉贤区人民法院审理一起侵犯公民个人信息罪刑事附带民事公益诉讼案。被告人李某制作一款“颜值检测”手机软件窃取1751张安装者的相册照片，部分含身份证号、人脸信息等，并在QQ群分享带有8100万余条个人信息的网盘链接。法院一审判决李宇犯侵犯公民个人信息罪，判处有期徒刑三年，宣告缓刑三年。

 

9月16日，全国首例利用手机APP软件非法超限采集公民个人信息案在天津宣判。某网络公司利用贷款类手机APP软件非法超限采集通讯录、通话记录、短信等公民个人信息246万余条，被告人葛某、朱某因侵犯公民个人信息罪分别被天津市河东区人民法院判处有期徒刑三年并处罚金10万元。

 

9月21日，福建莆田警方通报称，两名医疗业相关工作人员将莆田本地新冠患者及密接者的个人信息转发至家族群，对受害者造成相当程度的伤害和困扰，依据治安管理处罚法对两人处以罚款500元的行政处罚。

 

据不完全统计，自疫情暴发以来，新冠患者及密接者个人信息泄露事件至少发生过20起。有人大代表建议，参与流行病学调查的工作人员都应经过防疫部门授权并接受培训，签署保护个人信息的保密协议。

 

10月12日，江苏泰州公安姜堰分局网安大队捣毁一涉嫌侵犯公民个人信息的犯罪团伙，其非法售卖公民个人信息超过2亿条。其利用特定软件批量输入购买的邮箱账户和密码，得到可以成功登陆的游戏账号，再利用邮箱向游戏官方申请修改相对应的密码，实现游戏盗号。根据游戏账号充值情况，以几百到几千的价格向他人出售游戏账号。目前，13名犯罪嫌疑人因涉嫌侵犯公民个人信息罪均被警方依法采取刑事强制措施。

 

10月22日，中国银行保险监督管理委员会官网公布一则行政处罚决定书公告送达书，沈静冲时任中国建设银行余姚城建支行行长，侵犯公民个人信息案件的作案当事人，对侵犯公民个人信息案件负有直接责任。宁波银保监局对沈静冲予以禁止从事银行业工作五年的行政处罚。

 

11月1日，国家安全机关公布一起非传统安全案件，多个境外机构在我国境内开设网站，并在微博、贴吧、论坛、QQ群、视频网站等多个平台推送广告，利用我国国内航空和无线电爱好者群体，以免费提供设备、共享航空信息数据等为诱饵，广泛招募志愿者，协助其搜集我国各类飞行器航空数据等信息，并非法向境外传输。

 

12月5日，央视新闻报道小红书涉嫌泄露未成年隐私及内容审核不严问题，其APP存在“向未成年人推送身体隐私视频”“存在未成年人性暗示内容”等一系列乱象行为，除暴露个人隐私外，还有可能成为一些居心不良者的骚扰对象。对此，小红书对报道提及审核漏放情况致歉，并透露平台将于近期启动新一轮未成年治理专项。

 

12月14日，天眼查App显示，上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元。当事人购买具有人脸识别功能的摄像设备22台安装在旗下门店，以此统计进店人数并分析男女比例、年龄等。2021年1月至6月共采集上传人脸照片431623张。该行为未经消费者同意，也无明示、告知消费者收集、使用目的。