数据安全是企业经营的“生命线”，而旧设备回收处置、数据彻底销毁作为数据安全管理的重要环节，更是不容忽视的合规要点。近期多地网信、公安部门通报的11起典型案例显示，不少企业、单位因忽视数据安全保护义务，未落实数据销毁、设备安全处置等关键措施，或存在系统漏洞、制度缺失等问题，最终面临警告、罚款等行政处罚，部分案例还暴露出旧设备回收处置不当引发的数据泄露风险。

文件数据销毁

典型案例详情

案例一：郴州某公司存在不履行网络安全、数据安全、个人信息保护义务的行为，其相关信息系统未采取加密保护、健全网络安全管理制度、系统访问权限最小化授权等相应技术措施和其他必要措施保障数据安全，致使部分数据泄露。郴州市网信办依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》，对该公司给予警告并罚款10万元人民币的行政处罚。

案例二：湖南某网络技术有限公司未采取相应的技术措施和其他必要措施保障数据安全，系统存在未授权访问漏洞，网络安全日志缺失，严重损害数据安全。郴州市网信办依据《中华人民共和国数据安全法》，对该公司责令改正，给予警告的行政处罚，目前该公司已全部整改到位。

案例三：阳谷某服务有限公司管理系统中存储大量居民个人信息，但该系统在数据处理活动中未设置用户访问控制等关键性数据安全保护措施，同时未建立全流程数据安全管理制度，存在较高的公民个人信息泄露风险。阳谷公安局网安大队依据《中华人民共和国数据安全法》第二十七条及第四十五条相应罚则，依法对该服务有限公司作出责令整改并处警告的行政处罚。

案例四：库车市某技术学校未严格履行网络安全保护义务，网络安全保护责任落实不到位，导致网站被篡改为博彩网站。库车市网信部门依据《中华人民共和国网络安全法》《新疆维吾尔自治区网络安全管理条例》，依法对学校作出警告处罚，责令限期改正。

案例五：沙雅县某单位未严格履行网络安全保护义务，网络安全保护责任落实不到位，致使平台服务器被木马病毒攻击。沙雅县网信部门依据《中华人民共和国网络安全法》《新疆维吾尔自治区网络安全管理条例》，依法对该单位作出警告处罚，责令限期改正。

案例六：沙雅县某企业未严格履行网络安全保护义务，数据安全保护责任落实不到位，导致收集的公民个人信息存在泄露风险。沙雅县网信部门依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》，依法对该公司法定代表人进行约谈，并责令其限期改正。

案例七：沙雅县某网站未依法履行对公开信息的审核职责，内容信息审核不严，导致收集的个人信息存在泄露风险。沙雅县网信部门依据《中华人民共和国个人信息保护法》《新疆维吾尔自治区网络安全管理条例》，依法对网站负责人进行约谈，责令限期改正。

案例八：长沙某房地产有限公司相关楼盘售楼部，存在未充分告知、未征得购房人或访客明确同意的情况下，违规收集、使用个人（人脸）信息，用于购房人身份确认及分销佣金结算认定的行为；此外，阿克苏地区某学院未严格履行网络安全保护义务，网络安全保护责任落实不到位，其所属网站系统存在未授权访问漏洞等多种网络安全问题，构成潜在网络安全风险。阿克苏地区网信部门依据《中华人民共和国网络安全法》《新疆维吾尔自治区网络安全管理条例》，依法对学院负责人进行约谈，责令限期改正。

案例九：岚山某公司在日常网络运营中未制定内部安全管理制度和操作规程，未采取防范计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施，使公司网络系统长期处于“裸奔”状态，导致该公司财务部门、技术部门多台主机被植入木马病毒，存在网络安全风险隐患。岚山公安分局网安大队依法对该公司作出行政处罚并责令限期改正。

案例十：江西萍乡某财务咨询公司第三方财务管理软件被植入网络木马，存在网络安全风险隐患。经查，萍乡公安网安部门此前已向该公司提示有关漏洞风险，并要求整改，但公司一直未予落实，最终因服务器缺少基本安全防护措施被不法分子利用漏洞攻击植入木马程序，影响公司经营。公安机关依据《网络安全法》有关规定，依法对其作出行政处罚，并责令限期整改。

案例十一：河南三门峡某公司的网站遭到网络攻击，首页内容被篡改为博彩页面。经查，该网站存在SQL注入漏洞，因未及时发现和修复导致被黑客攻击利用。属地公安网安部门第一时间通报情况并责令彻查、修复漏洞隐患，但该公司仅清除被篡改页面，未按要求整改消除漏洞，导致漏洞再次被利用、网站首页二次被篡改为博彩页面。属地公安机关依据《中华人民共和国网络安全法》，依法追究该公司及直接负责主管人员的法律责任。

案例核心风险聚焦：旧设备与数据销毁相关隐患突出

从通报案例来看，企业、单位在数据安全管理中存在的共性问题，均与旧设备回收处置、数据销毁环节紧密相关，主要集中在三大方面：

1. 数据销毁不彻底，旧设备成“泄密源”：部分企业淘汰旧电脑、旧服务器等设备时，未执行专业的数据销毁流程，仅简单删除文件或恢复出厂设置，导致设备中存储的客户信息、财务数据、居民个人信息等存在被技术恢复的风险。案例中“部分数据泄露”“公民个人信息存在泄露风险”等情况，均印证了不规范数据销毁带来的直接隐患。

2. 安全措施缺失，设备处置全程“裸奔”：不少企业未建立旧设备回收处置管理制度，淘汰设备未进行安全评估，未采取加密保护、访问权限管控等技术措施。如岚山某公司未制定内部安全管理制度，网络系统长期处于无防护状态，不仅日常运营设备易遭木马攻击，淘汰设备的处置更是毫无规范可言，数据安全无从保障。

3. 制度流程空白，全链条管理存在漏洞：阳谷某服务有限公司等主体未建立全流程数据安全管理制度，既未明确旧设备回收、数据销毁的责任部门与操作流程，也未对相关人员进行安全培训，导致设备处置过程中权责不清、操作不规范，形成“重使用、轻处置”的错误认知，为数据泄露埋下长期隐患。

合规启示：旧设备回收与数据销毁需筑牢“三道防线”

结合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全法》等法规要求，企业需以案例为鉴，重点强化旧设备回收与数据销毁环节的合规管理：

1. 制度防线：建立全流程处置规范：明确旧设备回收、登记、数据销毁、报废处置的全流程管理制度，划定各部门职责边界，要求所有淘汰设备必须登记造册，详细记录设备型号、使用年限、存储数据类型、销毁方式、责任人等信息，确保全程可追溯。

2. 技术防线：执行“真清除”销毁标准：参照即将实施的《数据安全技术 电子产品信息清除技术要求》国标，对旧设备采用“数字覆写”“块擦除”等专业技术进行数据销毁，确保数据“永世不得复现”；涉及高敏感数据的设备，可采取物理销毁方式，彻底杜绝数据恢复可能。

3. 责任防线：强化人员培训与监督：定期对员工开展数据安全培训，明确旧设备处置的操作规范与禁忌；设立专人或专门部门负责旧设备处置的监督检查，严禁未经数据销毁的旧设备流入市场或随意丢弃；对违规处置行为制定明确追责机制，倒逼责任落实。

数据安全无小事，旧设备回收与数据销毁绝非“末端小事”，而是关乎企业声誉、用户权益的“关键一环”。从郴州某公司被罚款10万元，到三门峡某公司直接负责人被追责，一系列案例充分说明，监管部门对数据安全违规行为的查处力度持续加大。企业唯有筑牢制度、技术、责任三道防线，将旧设备回收与数据销毁纳入合规管理体系，才能切实防范数据泄露风险，实现合规经营、行稳致远。

文件数据销毁