标签:合规业务-网络安全与数据合规,电信、传媒、娱乐与高科技-数据及隐私权保护
引言
数据安全核心的两个风险是数据滥用和数据泄露。对于数据滥用问题,可以通过严格的法律规则来保证规范的数据处理,从而防范数据滥用。但是,数据泄露却并非可以完全避免,它不仅是内部风险,也经常因为外部攻击而发生数据泄露。数据泄露一直都是数据治理领域的长盛不衰的新闻话题,像是悬于企业头顶的达摩克利斯之剑。我国早在2012年,就对数据泄露问题作出了法律规定,《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等重要法律法规中均涉及数据泄露问题,今年再次公开征求意见的《网络安全法(修改再次征求意见稿)》中也拟对大量数据泄露的情形规定严格的法律责任。然而,数据泄露从未停止,反而总能成为头条新闻,在各类统计盘点中不断翻新记录,加剧数据焦虑但又难以杜绝。
一、数据泄露现状
虽然世界各国均在不断推进数据立法和数据保护监管行动,但是过去十几年来,全球范围内数据泄露仍然呈现持续上升的趋势。IBM Security发布的《2024年数据泄露成本报告》(Cost of a Data Breach Report)显示,2024年数据泄露的全球平均成本上升至488万美元,再次达到历史新高,比2023年增加了10%,是自2020年以来增幅最大的一年。而就在2020年,据中国信息通信研究院透露,2020年全球数据泄露的数量超过了过去15年的总和。当时,数据泄露就成为亟需解决的数据安全问题。《2024年数据泄露成本报告》发现,医疗健康、金融服务、制造、科技和能源企业的数据泄露成本最高,其中医疗健康企业已经连续14年付出最高的数据泄露成本,平均达到977万美元。奇安信发布的《2024中国政企机构数据安全风险研究报告》显示,2024年全球至少有471.6亿条数据泄露,较2023年的103.8亿条增长了354.3%。报告指出,全球范围内,IT产业、生活服务业和互联网行业是数据安全事件高发行业;而国内的互联网、政府及事业单位、制造业、医疗、金融、教育等行业是高发行业。
值得反思的是,随着数字社会不断形成和成熟,人们数据保护意识持续提升,企业也在不断加大数据保护投入,但是数据泄露的情况并未好转,反而似乎在更为恶化。可是到了今天,数据泄露仍处于上升趋势,并未因为问题之迫切而得以妥善解决。根据Verizon《2024年数据泄露调查报告》显示,漏洞、勒索软件、人的因素是数据泄露的主要诱因。Verizon历年报告显示,2021年85%的数据安全时间涉及人的因素,2022年为82%,2023年为74%。2024年,Verizon对人的因素的计算指标进行了调整,排除了滥用特权等主动恶意行为,但仍然有68%的数据安全事件涉及非恶意的人为因素。可以说,应对数据泄露在“人的因素”方面还有很多工作要做。如何提升从高层到基层员工的数据安全意识,更为准确地认识数据泄露并采取合理的行动,是企业防范数据泄露的前提和关键内容。
二、何为数据泄露?
数据泄露看似是一个难题,但实际上答案要从谜面中寻找。从字面理解,数据泄露可以理解为数据的丢失。但是必须注意到,基于数据的可复制性、非排他性等特点,数据泄露并不必然发生传统意义上的丢失。只要数据被未经授权地访问、查看、使用、复制或者删除等,甚至仅仅因为存在漏洞而有被未经授权地访问、查看、使用、复制或者删除的可能,都属于数据泄露的范畴。
国内相关数据立法中均对数据泄露作出了相关规定,虽然内涵基本一致,但在表述上有所不同(详见下表)。实际上,数据立法中的“数据泄露”的内涵要超出其字面含义。EDPB在其《关于数据泄露通知案例的指南》(Guidelines 01/2021 on Examples regarding Data Breach Notification)中及其他相关指南中均指出,数据泄露(data breach)主要有三种典型形式:(1)破坏机密性,导致个人信息被未经授权或者意外地访问或者公开;(2)破坏完整性,导致个人信息被未经授权或者意外的篡改;(3)破坏可用性,导致个人信息因意外或者未经授权地毁损或者丧失访问权。
国内有关数据泄露的法律规定。金杜网络安全与数据合规团队整理
结合国内外规定综合理解,data breach所指向的法律制度具有一致性。它不仅是一种对数据本身的破坏,而且是一种对安全义务的破坏,结果上表现为数据安全状态的丧失。这种破坏包括毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为等等,从而产生了breach的实际后果。所以说,数据泄露与数据安全保障义务密切相关,数据泄露在法律意义上指的是破坏了数据安全状态,而这种破坏可能是因为违反了数据安全保障义务所导致的。需要注意的是,两者之间又不必然具有因果关系。有些企业在采取了适当的安全保障措施后,仍然不幸地发生了数据泄露事件。因此,世界各国在数据立法中广泛地建立了数据泄露通知制度,以此作为应对数据泄露的有效法律手段。
三、何为数据泄露通知制度
数据泄露通知制度是指当企业发生数据泄露事件时,按照相关法律法规和内部政策要求,及时向受影响的用户、监管机构等相关方发出通知和报告的制度。其主要目的是保护用户的隐私权和数据安全,确保受影响的用户能够及时了解泄露事件的情况,采取必要的措施来减少损失和风险。通过向监管机构报告,有助于监督机构更好地调配资源以降低数据泄露的损失。IBM《2024年数据泄露成本报告》中指出,执法部门的参与可以降低泄露成本,平均降低了20%以上(近100万美元)。同时,监管机构还可以及时了解数据泄露事件的情况,加强监管和追责。
不同国家和地区对于需要通知的内容要求不同,但总结起来主要包括以下五个因素:
(1)通知对象:包括受影响的用户、监管机构等相关方。
(2)通知内容:包括泄露事件的基本情况、影响范围、应对措施、联系方式等。
(3)通知方式:可以通过电子邮件、短信、电话、信函等方式进行通知。
(4)通知时间:在发现数据泄露事件后,应在合理的时间内向相关方发出通知。
(5)报告要求:向监管机构报告的要求,包括报告的时间、内容、方式等。
如根据《个人信息保护法》第五十七条第一款的规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(3)个人信息处理者的联系方式。
不过,企业势必会担心通知后产生的不利后果,导致承担严格的法律责任。这是制约数据泄露通知制度落地的重要情绪因素,也反向造成数据泄露持续成为新闻而又不断升级加剧。事实上,数据泄露通知的制度设计已经充分考量了这一问题,需要在实践中准确把握应用。按照规范的数据泄露通知制度要求,企业履行通知义务后,反而不应承担法律责任,并能够更有效地降低企业和用户损失。
四、数据泄露应当承担什么法律责任?
数据泄露属于网络安全事件的一种。国家网信办《网络安全事件报告管理办法(征求意见稿)》中将重要数据泄露、个人信息泄露等列入。欧盟也认为个人数据泄露属于数据安全事件。发生或者可能发生数据泄露时,就会直接触发企业的通知义务。前述列表中的相关法律规定均规定了数据泄露通知制度(《数据安全法》除外),即要求数据处理者在发生或者可能发生数据泄漏时,向主管部门或者用户报告。
金杜网络安全与数据合规团队整理
数据泄露导致数据丧失安全状态的结果,应该是数据处理者并不期望发生的,或者其发生已经超出了数据处理者的控制能力范围。EDPB《关于个人数据泄露通知制度的指南2.0版》(Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0)中指出,数据泄露的结果是数据控制者(data controller)不能确保根据GDPR第5条的要求处理个人数据。恰恰是因为数据泄露难以绝对避免,而其又具有相当的数据安全风险,所以才对企业规定了通知的义务。数据泄露通知制度的通知,不具有自首的性质,也不是要求企业“自证其罪”。它的核心要义是,要求企业采取通知的行动,获取主管机关的指导或者资源支持,避免用户以及企业自身的进一步损失。
总结来说,监管、企业、个人等数据治理各方都不应将“数据泄露”本身视为违法行为,否则数据泄露通知制度就失去了意义,也不具备落地的可能。数据泄露通知制度实际上是一种单独义务,它独立于数据安全保障义务。这一点比较难以理解,在国内也缺乏具体的行业实践,但这是准确认识数据泄露通知制度的关键,也是让数据泄露通知制度真正有效的逻辑起点。
具体理解数据泄露通知制度的独立性,需要考虑实践中可能出现四种情形(见下图):(1)履行了数据泄露通知义务,也履行了数据安全保障义务——不承担任何法律责任;(2)履行了数据泄露通知义务,而数据安全保障义务未履行——不产生泄露不通知的法律责任,但要承担未履行数据安全保障义务的法律责任;(3)未履行数据泄露通知义务,而履行了数据安全保障义务——不承担数据安全保障义务的法律责任,但要承担不通知的法律责任;(4)未履行数据泄露通知义务,也未履行数据安全保障义务——既要承担不通知的法律责任,也要承担未履行数据安全保障义务的法律责任。
数据泄露通知示意图(实线箭头为通知流程,虚线为安全保障义务流程)
金杜网络安全与数据合规团队整理
数据泄露通知制度具有独立性,是因为数据泄露本身的风险性,需要在短时间内调动足够的资源应对安全隐患,避免发生更恶性的后果。数据泄露通知本质上就是信息共享机制,而信息的来源就是企业。数据泄露通知制度应该设置单独的法律责任(很多数据泄露通知制度都有单独法律责任),以防止企业担心通知后产生对己不利的后果,而不采取通知的行动。事实上,全面推进落实数据泄露通知制度后,数据泄露的不利影响反而会大幅下降,变成常态化的社会风险事件,由政府、企业、个人以及专业第三方机构共同应对。而不应陷于企业被动曝光后(或者未被曝光但仍需自行应对)独自承担风险后果的非良性循环局面。
五、美国的数据泄露通知制度
大多数国家和地区都有关于数据泄露通知的规定,比如欧盟的GDPR中就要求,数据控制者发现数据泄露后,必须在72小时以内通知监管机构。根据IBM《2024年数据泄露成本报告》,美国是平均数据泄露成本最高的国家,达到936万美元。但是,美国在联邦层面没有统一的数据泄露通知法,但多个行业性法规涉及数据泄露通知要求。例如,《健康保险携带和责任法案》(HIPAA)要求受管辖的实体在发生数据泄露时,向卫生与公众服务部报告,并在发现违规行为后60天内通知受影响的个人。如果涉及500人以上,还需通知媒体。通知内容包括违规事件描述、涉及信息类型、个人应采取的保护措施等;《格雷姆-里奇-比利雷法案》(GLBA)适用于金融机构,要求其在发现客户信息未经授权被访问时,尽快通知监管机构和受影响的客户;《联邦证券法》要求上市公司在发生重大网络事件时,向证券交易委员会披露相关信息。
虽然联邦层面没有统一的数据泄露通知法,美国所有50个州、哥伦比亚特区都早已出台了数据泄露通知相关规定,要求发生个人数据泄露时履行通知义务。大多数州的数据泄露通知法要求通知受影响的个人,部分州还要求通知州监管机构或信用报告机构,通知方式可以采用书面、电子通知或替代通知(如电子邮件、网站公告、媒体通知)。例如,纽约州于2005年出台了《信息安全漏洞和通知法案》,2019年又将其修订为《盾牌法案》(Shield Act)。《盾牌法案》扩大了个人数据的类型(增加了生物特征信息、用户名、电子邮件地址以及密码凭证),要求公司采取技术保障措施,保护个人数据安全。根据《盾牌法案》,对于未能及时通知的情况,法院可能会对每次未通知处以最高 20 美元的民事罚款,但最高不超过 250,000 美元。对于未能维持合理的保障措施,法院可能对每次违法行为处以最高 5,000 美元的民事罚款;加州民法典(California Civil Code)1798.29中也规定了发生数据泄露的通知义务,除特殊情况外,必须尽可能快地通知。如果单次数据泄露涉及500人以上的加州居民个人信息,就必须以电子方式通知加州总检察长。数据泄露通知必须以书面形式、平实语言完成,并应注明“数据泄露通知”(Notice of Data Breach)。通知内容应当包括:(1)发生了什么?(2)涉及哪些数据?(3)我们做了什么?(4)你能做什么?(5)其他更多信息。
加州数据泄露通知样表。来源:加州总检察长办公室,Search Data Security Breaches | State of California - Department of Justice - Office of the Attorney General
通常来说,数据泄露通知要求在尽可能短的时间内完成,大多数州要求在发现数据泄露后的30至60天内通知,但也有一些例外情形。例如加州明确,如果通知会影响刑事调查,则可以延迟通知。2023年11月,加州长滩市发生了严重数据泄露,涉及超过30万加州居民的敏感个人信息,但是直至2025年4月14日,长滩市才提交了数据泄露通知。此外,美国财政部下属的货币监理署(Office of the Comptroller of the Currency)近期被报道称,其电子邮件系统遭遇了重大入侵,黑客在一年多内监视了超过100个账户,并可能获取有关美国联邦监管金融机构财务状况的敏感信息,这一数据泄露事件被认定为重大事件,此次数据泄露事件于2月中旬首次被发现,但一些银行直到4月此事经过报道后才得知其规模和影响,因此,此次事件也引发了公众及相关金融机构对美国货币监理署应对措施、保障措施及数据泄露通知制度的质疑。
长滩市的数据泄露通知。来源:加州总检察长办公室,Search Data Security Breaches | State of California - Department of Justice - Office of the Attorney General
六、对企业合规的启示
在数字社会的发展和成熟过程中,数据泄露可能无法完全避免。数据泄露的发生与否,取决于企业数据安全保障水平的高低,也表现为攻防双方的零和博弈。在法律层面、监管层面和舆论层面对数据泄露采取绝对禁止性的态度,未必能够发挥应有的效果。充分认识数据泄露通知制度的作用,并将其真正运用到数据安全实践中,将是未来应对数据泄露的重要手段之一。对于企业而言,可以从两个方面合规。
建议企业提升数据安全保护意识,确保数据安全保障义务落实到位。数据安全保障义务需要持续投入和动态合规,且在数据泄露通知制度中具有终局性的效果——如果违反了数据安全保障义务,则难以免除法律责任。因此,需要按照《个人信息保护法》《网络数据安全管理条例》等规做好企业数据合规工作,特别是要结合企业自身规模、性质等,落实有关风险评估、影响评估、应急演练等法律规定,在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持,确保不违反硬性的数据安全保障义务。
建议企业对标相关法律法规中的数据泄露通知要求,如《网络安全事件报告管理办法(征求意见稿)》等,构建企业内部数据泄露等防控机制、监测机制以及报告机制。同时,还要及时跟踪有关数据泄露通知的政策指引、标准指南等制定发布工作,调整好合规心态及合规思路,必要时借助专业第三方机构的支持,积极通过数据泄露通知制度获取行政支持,减少企业和用户损失。值得注意的是,《网络数据安全管理条例》第五十九条规定了从轻、减轻或者不予处罚的情形。倾向于理解,数据泄露通知不仅是一项法律义务,同时也属于主动消除或者减轻数据安全事件危害后果的措施之一,有利于相关企业降低法律责任风险。
扫码订阅“金杜律师事务所”,了解更多业务资讯
