前沿观察,

不识庐山真面目,只缘身在此山中——数据泄露是一个难题还是错题?

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:合规业务-网络安全与数据合规数字经济电信、传媒、娱乐与高科技

引言

数据泄露一直都是数据治理领域的长盛不衰的新闻话题。它是悬于企业头顶的达克摩斯之剑,但又从未真正落下。我国早在2012年,就对数据泄露问题作出了法律规定(详见后文)。《网络安全法》《数据安全法》《个人信息保护法》等重要法律中均涉及数据泄露问题。然而,数据泄露从未停止,反而总能成为头条新闻,在各类统计盘点中不断翻新记录,加剧数据焦虑却又仿佛无计可施。本文在长期跟踪、观察数据领域法律规定和数据合规实践的基础上,对数据泄露问题进行研究探讨,以期为解决数据泄露问题贡献一些思路和想法。

一、数据泄露现状

虽然世界各国均在不断推进数据立法和数据保护监管行动,但是过去十几年来,全球范围内数据泄露呈现持续上升的趋势。2023年,IBM Security发布的《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本上升至445万美元,达到历史新高,比2022年的435万美元增加了2.3%,比2020年的386万美元增加了15.3%。其中,医疗领域数据泄露成本最高,达到1093万美元,其后是金融、能源、工业、科技、服务、运输、教育等行业,其中金融机构的数据泄露平均成本为590万美元,能源行业的平均成本为478万美元,教育行业的平均成本为365万美元。根据威胁猎人(深圳永安在线科技有限公司旗下品牌)发布的《2023年数据泄露风险年度报告》显示,2023年全网监测并分析验证有效的数据泄露事件超过19500起,涉及金融、物流、航旅、电商、汽车等20多个行业。其中,金融行业是2023年公民个人信息泄露事件数量最多的行业,航旅行业出现大幅增长,首次进入排名前三。

值得反思的是,随着数字社会不断形成和成熟,人们数据保护意识持续提升,企业也在不断加大数据保护投入,但是数据泄露的情况并未好转,反而似乎在更为恶化。早在三年前的中国互联网大会(第二十届)数据安全论坛上,中国信息通信研究院就表示,2020年全球数据泄露的数量就已经超过过去15年的总和。彼时,数据泄露就成为亟需解决的数据安全问题。可是到了今天,数据泄露仍处于上升趋势,并未因为问题之迫切而得以妥善解决。根据Verizon《2023年数据泄露调查报告》显示,在调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51% 的网络攻击涉及到有组织有计划的犯罪集团。可以说,应对数据泄露在“人的因素”方面还有很多工作要做。但是,如何更为准确地认识数据泄露并采取合理的行动,可能更为重要。

二、何为数据泄露?

数据泄露看似是一个难题,但实际上答案要从谜面中寻找。从字面理解,数据泄露可以理解为数据的丢失。但是必须注意到,基于数据的可复制性、非排他性等特点,数据泄露并不必然发生传统意义上的丢失。只要数据被未经授权地访问、查看、使用、复制或者删除等,甚至仅仅因为存在漏洞而有被未经授权地访问、查看、使用、复制或者删除的可能,都属于数据泄露的范畴。

国内相关数据立法中均对数据泄露作出了相关规定,虽然内涵基本一致,但在表述上有所不同(详见下表)。实际上,数据立法中的“数据泄露”的内涵要超出其字面含义。英文中对应数据泄露的法律用语是data breach,此处breach有两种理解,一是出现了缺口,另一是对规定的违反。按照后一理解,违反的对象应为数据的三性,即机密性、完整性和可用性(confidentiality,integrity,availability,CIA)。因此所谓的数据泄露,应指数据被未经授权地访问、查看、使用、复制或者删除,以及存在前述情况的可能,导致数据的保密性、完整性、可用性受到减损。EDPB在其《关于数据泄露通知案例的指南》(Guidelines 01/2021 on Examples regarding Data Breach Notification)中及其他相关指南中均指出,数据泄露(data breach)主要有三种典型形式:(1)破坏机密性,导致个人信息被未经授权或者意外地访问或者公开;(2)破坏完整性,导致个人信息被未经授权或者意外的篡改;(3)破坏可用性,导致个人信息因意外或者未经授权地毁损或者丧失访问权。

表:国内相关立法有关数据泄露的条款

 

国外立法中选择breach而非loss,leak或者其他单词,是因为breach相对具有更丰富的内涵。如,美国加利福尼亚州《数据泄露通知法》将breach规定为对系统安全性(security of the system)的破坏。美国华盛顿州《数据泄露通知法》是美国最新的州层面立法,也保持了一致的规定,同样是对系统安全性(security of the system)的破坏(breach)。欧盟《隐私和电子通信指令》中将“个人信息泄露”(personal data breach)界定为对安全性的破坏所导致的意外或者非法毁坏、损失、篡改,未经授权地公开或者访问。欧盟《个人数据泄露通知条例》中也引用了《隐私和电子通信指令》的定义。《通用数据保护条例》(General Data Protection Regulation,GDPR)与《隐私和电子通信指令》一致,规定“个人数据泄露”是指对安全性的破坏,导致意外或非法毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为。

更深一层来看,结合国内外规定综合理解,data breach所指向的法律制度具有一致性。它不仅是一种对数据本身的破坏,而且是一种对安全义务的破坏,结果上表现为数据安全状态的丧失。这种破坏包括毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为等等,从而产生了breach的实际后果。所以说,数据泄露与数据安全保障义务密切相关,数据泄露在法律意义上指的是破坏了数据安全状态,而这种破坏可能是因为违反了数据安全保障义务所导致的。需要注意的是,两者之间又不必然具有因果关系。有些企业在采取了适当的安全保障措施后,仍然不幸地发生了数据泄露事件。因此,世界各国在数据立法中广泛地建立了数据泄露通知制度,以此作为应对数据泄露的有效法律手段。

三、何为数据泄露通知制度

数据泄露通知制度是指当企业发生数据泄露事件时,按照相关法律法规和内部政策要求,及时向受影响的用户、监管机构等相关方发出通知和报告的制度。其主要目的是保护用户的隐私权和数据安全,确保受影响的用户能够及时了解泄露事件的情况,采取必要的措施来减少损失和风险。同时,通过向监管机构报告,有助于监督机构及时了解数据泄露事件的情况,加强监管和追责。

一般而言,数据泄露通知制度通常包括以下内容:

1. 通知对象:包括受影响的用户、监管机构等相关方。

2. 通知内容:包括泄露事件的基本情况、影响范围、应对措施、联系方式等。

3. 通知方式:可以通过电子邮件、短信、电话、信函等方式进行通知。

4. 通知时间:在发现数据泄露事件后,应在合理的时间内向相关方发出通知。

5. 报告要求:向监管机构报告的要求,包括报告的时间、内容、方式等。

如根据《个人信息保护法》第五十七条第一款的规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(3)个人信息处理者的联系方式。

不过,企业势必会担心通知后产生的不利后果,导致承担严格的法律责任。这是制约数据泄露通知制度落地的重要情绪因素,也反向造成数据泄露持续成为新闻而又不断升级加剧。事实上,数据泄露通知的制度设计已经充分考量了这一问题,需要在实践中准确把握应用。按照规范的数据泄露通知制度要求,企业履行通知义务后,反而不应承担法律责任(需要符合具体场景,详见后文分析),并能够更有效地降低企业和用户损失。

四、数据泄露应当承担什么法律责任?

数据泄露属于网络安全事件的一种。国家网信办《网络安全事件报告管理办法(征求意见稿)》中将重要数据泄露、个人信息泄露等列入。欧盟也认为个人数据泄露属于数据安全事件。发生或者可能发生数据泄露时,就会直接触发企业的通知义务。前述列表中的相关法律规定均规定了数据泄露通知制度(《数据安全法》除外),即要求数据处理者在发生或者可能发生数据泄漏时,向主管部门或者用户报告。

数据泄露导致数据丧失安全状态的结果,应该是数据处理者并不期望发生的,或者其发生已经超出了数据处理者的控制能力范围。EDPB《关于个人数据泄露通知制度的指南2.0版》(Guidelines 9/2022 on personal data breach notification under GDPR,Version 2.0)中指出,数据泄露的结果是数据控制者(data controller)不能确保根据GDPR第5条的要求处理个人数据。恰恰是因为数据泄露难以绝对避免,而其又具有相当的数据安全风险,所以才对企业规定了通知的义务。数据泄露通知制度的通知,不具有自首的性质,也不是要求企业“自证其罪”。它的核心要义是,要求企业采取通知的行动,获取主管机关的指导或者资源支持,避免用户以及企业自身的进一步损失。

总结来说,数据治理各方都不应将“数据泄露”本身视为违法行为,否则数据泄露通知制度就失去了意义,也不具备落地的可能。数据泄露通知制度实际上是一种单独义务,它独立于数据安全保障义务。这一点比较难以理解,在国内也缺乏具体的行业实践,但这是准确认识数据泄露通知制度的关键,也是让数据泄露通知制度真正有效的逻辑起点。

具体理解数据泄露通知制度的独立性,需要考虑实践中可能出现四种情形(见下图):(1)履行了数据泄露通知义务,也履行了数据安全保障义务——不承担任何法律责任;(2)履行了数据泄露通知义务,而数据安全保障义务未履行——不产生泄露不通知的法律责任,但要承担未履行数据安全保障义务的法律责任;(3)未履行数据泄露通知义务,而履行了数据安全保障义务——不承担数据安全保障义务的法律责任,但要承担不通知的法律责任;(4)未履行数据泄露通知义务,也未履行数据安全保障义务——既要承担不通知的法律责任,也要承担未履行数据安全保障义务的法律责任。

数据泄露通知示意图(实线箭头为通知流程,虚线为安全保障义务流程)

 

之所以数据泄露通知制度具有独立性,是因为数据泄露本身的风险性,需要在短时间内调动足够的资源应对安全隐患,避免发生更恶性的后果。数据泄露通知本质上就是信息共享机制,而信息的来源就是企业。数据泄露通知制度应该设置单独的法律责任(很多数据泄露通知制度都有单独法律责任),以防止企业担心通知后产生对己不利的后果,而不采取通知的行动。事实上,全面推进落实数据泄露通知制度后,数据泄露的不利影响反而会大幅下降,变成常态化的社会风险事件,由政府、企业、用户以及专业第三方机构共同应对。而不应陷于企业被动曝光后(或者未被曝光但仍需自行应对)独自承担风险后果的非良性循环局面。

五、对企业的合规启发

数据泄露仍处于高发态势,但是在数字社会的发展和成熟过程中,数据泄露不是必然可以被根除的现象。数据泄露的发生与否,取决于企业数据安全保障水平的高低,也表现为攻防双方的零和博弈。绝对地在法律层面、监管层面和舆论层面对数据泄露采取绝对禁止性的态度,未必能够发挥应有的效果。我国通过十余年的立法进程,不断重申、持续完善数据泄露通知制度,这反而更应该是治理数据泄露难题的应有之道。值得注意的是,2023年12月,国家网信办向社会公开征求对《网络安全事件报告管理办法(征求意见稿)》的意见,表明主管层面已经在着手推动数据泄露通知相关制度走向实处。相关企业也应注意政策走向,特别是要关注数据泄露通知制度,根据自身情况及时作出调整,开展积极的准备工作。

建议企业提升数据安全保护意识,确保数据安全保障义务落实到位。数据安全保障义务需要持续投入和动态合规,且在数据泄露通知制度中具有终局性的效果——如果违反了数据安全保障义务,则难以免除法律责任。因此,需要按照《数据安全法》《个人信息保护法》等规定做好企业数据合规工作,特别是要结合企业自身规模、性质等,落实有关风险评估、影响评估、应急演练等法律规定,在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持,确保不违反硬性的数据安全保障义务。

建议企业对标相关法律法规中的数据泄露通知要求,以及《网络安全事件报告管理办法(征求意见稿)》,构建企业内部数据泄露等防控机制、监测机制以及报告机制。特别是要及时跟踪有关数据泄露通知的政策指引、标准指南等制定发布工作,调整好合规心态及合规思路,必要时借助专业第三方机构的支持,积极通过数据泄露通知制度获取行政支持,减少企业和用户损失,避免承担相应的法律责任。

扫码订阅“金杜律师事务所”,了解更多业务资讯

最新文章
前沿观察
2024年12月31日,中国国家知识产权局发布了《人工智能相关发明专利申请指引(试行)》(下称“《指引》”),意在进一步明确和细化我国现行专利法律制度框架下人工智能领域的专利审查政策,回应创新主体普遍关切的热点法律问题。基于此,本文针对人工智能是否能成为发明专利的适格客体这一问题进行了探讨,并进一步对中美两国对于人工智能专利客体的适格性标准进行了比较研究,以期为出海企业在全球范围内的专利布局提供参考。知识产权-专利,人工智能

2025/01/15

前沿观察
2024年,我国经济以“稳中求进”为总基调,以“攻坚克难”为关键词, 新“国九条”和资本市场“1+N”政策落地见效。从“坚持把防控风险作为金融工作永恒主题”的战略方向, 到《关于加强监管防范风险推动资本市场高质量发展的若干意见》等资本市场风险防控工作的具体落实;从“金融监管要‘长牙带刺’、有棱有角”的深刻把握,到“零容忍”打击各类违法违规行为的从严监管;从“上市公司是市场之基,是投资价值的源泉” 这一正确认识,到出台上市公司市值管理指引、深化上市公司并购重组市场改革等一系列规范政策出台。 2024年,是引导和督促上市公司完善公司治理,建设建强以投资者为本的资本市场的重要一年。上市公司是国民经济的“基本盘”、“压舱石”和“优等生”,是经济高质量发展的重要微观基础。 上市退市方面,严把发行上市准入关,从源头上提高上市公司质量,严格强制退市标准,拓宽多元化退出渠道,2024年全年55家上市公司平稳退市 ;外资投资方面,发挥战略投资渠道引资潜力,支持长期投资、价值投资;股份减持方面,有效防范绕道减持,细化违规责任条款;市值管理方面,引导上市公司关注自身投资价值,切实提升投资价值;并购重组方面,深化上市公司并购重组市场改革,支持经济转型升级、实现高质量发展;强化监管方面,加强信息披露监管,严惩业绩造假,加强现金分红监管,增强投资者回报。在对上市公司的全链条监管下,我国着力打造安全、规范、透明、开放、有活力、有韧性的资本市场。 2024年,是全面实施“强本强基、严监严管”的关键一年。“金融的安全靠制度、活力在市场、秩序靠法治。”2024年全年,证监会办理各类案件739件,罚没款金额超过上一年的两倍。推动形成财务造假综合惩防体系,严肃查处欺诈发行、财务造假、违规减持、操纵市场等一批大要案 ;持续打击实控人等“关键少数”违法,助力维护中小投资者合法权益;强化行政、刑事、民事立体化追责,助力提高违法成本。突出“严”,立足“效”,着眼“准”,聚力“合”,以强有力行政执法工作护航资本市场高质量发展,不断增强投资者的获得感和投资安全感。 2024年,是资本市场波澜诡谲、上市公司犯罪查处愈发从严的一年。根据我们的不完全统计,本年度A股上市公司及关联主体涉嫌刑事犯罪或遭受刑事侵害的案件共有102起,涉及97家上市公司。 纵览上市公司刑事犯罪情况,财产与金融安全仍是高风险领域,操纵证券市场、违规内幕交易愈发成为上市公司犯罪重灾区。从执法趋势来看,司法机关针对上市公司犯罪案件,施行刑事追责、市场禁入、行政处罚、民事赔偿等多元手段,不仅打击直接的犯罪行为,还同步审查非法配资、“黑嘴”荐股、出具虚假审计报告、洗钱等上下游、前后手犯罪,致力维护资本市场秩序、保护中小投资者利益。 通过梳理及分析2024年度上市公司犯罪情况,我们形成本年度上市公司犯罪报告,继续揭示上市公司刑事风险的趋势与特点,以期从一般社会预防的角度,为上市公司及相关方增强刑事调查与合规意识、预防刑事法律风险提供帮助。争议解决与诉讼-刑事调查及辩护,证券与资本市场-上市公司常年法律顾问,金融机构-金融市场监管

2025/01/14

前沿观察
排污许可制是针对固定污染源环境监管的核心制度,也是环境监管制度的重大改革内容之一。2016年国务院印发《控制污染物排放许可制实施方案》,开始推行排污许可制度改革,原环境保护部先后印发《排污许可管理办法》(试行)和《排污许可管理办法》,从部门规章层面为推进排污许可制度提供了规章依据。2021年国务院制定《排污许可管理条例》,排污许可制度上升到“行政法规”层面,这一法规的出台,标志着排污许可制度改革取得了阶段性成果。 近年来,党中央、国务院对深化排污许可制度改革提出了新要求,党的二十大报告要求全面实行排污许可制,《中共中央 国务院关于全面推进美丽中国建设的意见》再次提出全面实行排污许可制要求,党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》,明确“落实以排污许可制为核心的固定污染源监管制度”的改革目标任务。在此背景下,2024年11月生态环境部发布了《全面实行排污许可制实施方案》(下称“《实施方案》”),这是落实党中央国务院部署,深化排污许可制度改革的一项重要举措。 根据《实施方案》提出的重点任务,深化排污许可制度改革的重点将聚焦进一步完善排污许可相关法律法规及标准技术规范体系等、落实以排污许可制为核心的固定污染源监管制度、全面落实固定污染源“一证式”管理、进一步加强排污许可基础保障建设等。深化排污许可制度改革提出的重点任务也包括对排污单位提出要求,即排污单位需构建基于排污许可证的环境管理制度。 本文拟结合我们长期为排污单位提供环境法律服务的经验,针对目前排污单位排污许可管理的状况、存在的问题及不足,就如何构建基于排污许可证的环境管理制度谈谈我们的看法,以供参考。合规业务-环境法

2025/01/13