近年以来，全国各地不断出现数据安全处罚事件，很多都是当地首个“罚单”。从2023年公开报道的几起企业数据安全处罚事件来看，最高金额为100万元，其他为数万到数十万不等，并没有出现2022年国内某出行巨头高达80.26亿元的天价罚款。

罚款金额高低不等，充分体现了合规执法更加科学务实、精准化和精细化的趋势。以浙江温州公安网安部门做出的100万罚单为例，原因是浙江某科技有限公司在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。由于该事件牵涉到敏感数据，且性质比较严重，罚款力度也更重。

相比之下，衡南县网信办做出的“罚单”，其原因是衡南县某医院未履行数据安全保护义务，造成部分数据泄露。其危害性、严重性较浙江温州事件轻很多，因此，衡南县网信办主要对该医院作出责令整改，给予警告，并处罚款5万元的行政处罚。同时对第三方技术公司及相关责任人处以1.2万元罚款。

而4月份，江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒，导致OA系统和服务器内存储的大量敏感数据存在泄漏风险，该公司履行数据安全保护义务不到位。最终被处以警告、罚款50万元。

可以看出，《数据安全法》正式实施以来，公安、网信等部门积极适用新法，全面压紧压实网络运营单位数据安全主体责任，充分体现“有法可依、有法必依、执法必严”的法治精神。而多地的罚单都属于当地“首例”，表明数据安全治理已经迈出了积极探索和实践的第一步。

《数据安全法》落地加速 企业急需“红线意识”

企业数据安全处罚事件频发，意味着数据安全在我国仍面临较大的挑战，数据处理者应当加强数据安全保护力度，落实总体国家安全观，切实履行数据安全保护义务，构建数据安全管理制度，维护国家安全和社会稳定。结合从众多政企行业客户中的实践，刘前伟指出，当前国内数据安全建设大致分化为强合规驱动型和事件驱动型两种类型。

其中强合规驱动型，主要以运营商、金融行业客户等领域的国有企业为代表，重视合规先行。相应的，工信部门、金融监管等部门等也出台了较为详尽的数据安全合规要求，标准较高、要求颗粒度很细，既考虑到国家层面的上位要求，也结合了行业特性，具有扎实落地性。企业只需“按图索骥”，即可实现较高的安全水平。

以金融行业为例，除了《网络安全法》、《数据安全法》、《个人信息保护法》三大上位法之外，2020年2月，中国人民银行正式下发了《个人金融信息保护技术规范》，此后，监管层又相继出台《金融数据安全 数据安全分级指南》、《金融科技创新安全通用规范》、《人工智能算法金融应用评价规范》、《金融数据安全 数据生命周期安全规范》，以及《金融领域科技伦理指引》等等，一系列标准化文件都对金融机构数据安全保护与个人权益保护提出了完备要求，为金融企业数据安全合规建设提供明确指引。

而事件驱动型主要集中于新兴行业客户，包括工业互联网企业、车联网企业等等，这些行业目前数据安全具体监管要求还不太多，合规要求未深入覆盖，具有很强执行度的合规细则还未出台。所以，他们更加关注舆论事件驱动，一旦出现数据安全事故，会对企业品牌声誉及消费者忠诚度产生负面影响。

（来源：同花顺财经）