标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技
引言
数据泄露一直都是数据治理领域的长盛不衰的新闻话题。它是悬于企业头顶的达克摩斯之剑,但又从未真正落下。我国早在2012年,就对数据泄露问题作出了法律规定(详见后文)。《网络安全法》《数据安全法》《个人信息保护法》等重要法律中均涉及数据泄露问题。然而,数据泄露从未停止,反而总能成为头条新闻,在各类统计盘点中不断翻新记录,加剧数据焦虑却又仿佛无计可施。本文在长期跟踪、观察数据领域法律规定和数据合规实践的基础上,对数据泄露问题进行研究探讨,以期为解决数据泄露问题贡献一些思路和想法。
一、数据泄露现状
虽然世界各国均在不断推进数据立法和数据保护监管行动,但是过去十几年来,全球范围内数据泄露呈现持续上升的趋势。2023年,IBM Security发布的《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本上升至445万美元,达到历史新高,比2022年的435万美元增加了2.3%,比2020年的386万美元增加了15.3%。其中,医疗领域数据泄露成本最高,达到1093万美元,其后是金融、能源、工业、科技、服务、运输、教育等行业,其中金融机构的数据泄露平均成本为590万美元,能源行业的平均成本为478万美元,教育行业的平均成本为365万美元。根据威胁猎人(深圳永安在线科技有限公司旗下品牌)发布的《2023年数据泄露风险年度报告》显示,2023年全网监测并分析验证有效的数据泄露事件超过19500起,涉及金融、物流、航旅、电商、汽车等20多个行业。其中,金融行业是2023年公民个人信息泄露事件数量最多的行业,航旅行业出现大幅增长,首次进入排名前三。
值得反思的是,随着数字社会不断形成和成熟,人们数据保护意识持续提升,企业也在不断加大数据保护投入,但是数据泄露的情况并未好转,反而似乎在更为恶化。早在三年前的中国互联网大会(第二十届)数据安全论坛上,中国信息通信研究院就表示,2020年全球数据泄露的数量就已经超过过去15年的总和。彼时,数据泄露就成为亟需解决的数据安全问题。可是到了今天,数据泄露仍处于上升趋势,并未因为问题之迫切而得以妥善解决。根据Verizon《2023年数据泄露调查报告》显示,在调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51% 的网络攻击涉及到有组织有计划的犯罪集团。可以说,应对数据泄露在“人的因素”方面还有很多工作要做。但是,如何更为准确地认识数据泄露并采取合理的行动,可能更为重要。
二、何为数据泄露?
数据泄露看似是一个难题,但实际上答案要从谜面中寻找。从字面理解,数据泄露可以理解为数据的丢失。但是必须注意到,基于数据的可复制性、非排他性等特点,数据泄露并不必然发生传统意义上的丢失。只要数据被未经授权地访问、查看、使用、复制或者删除等,甚至仅仅因为存在漏洞而有被未经授权地访问、查看、使用、复制或者删除的可能,都属于数据泄露的范畴。
国内相关数据立法中均对数据泄露作出了相关规定,虽然内涵基本一致,但在表述上有所不同(详见下表)。实际上,数据立法中的“数据泄露”的内涵要超出其字面含义。英文中对应数据泄露的法律用语是data breach,此处breach有两种理解,一是出现了缺口,另一是对规定的违反。按照后一理解,违反的对象应为数据的三性,即机密性、完整性和可用性(confidentiality,integrity,availability,CIA)。因此所谓的数据泄露,应指数据被未经授权地访问、查看、使用、复制或者删除,以及存在前述情况的可能,导致数据的保密性、完整性、可用性受到减损。EDPB在其《关于数据泄露通知案例的指南》(Guidelines 01/2021 on Examples regarding Data Breach Notification)中及其他相关指南中均指出,数据泄露(data breach)主要有三种典型形式:(1)破坏机密性,导致个人信息被未经授权或者意外地访问或者公开;(2)破坏完整性,导致个人信息被未经授权或者意外的篡改;(3)破坏可用性,导致个人信息因意外或者未经授权地毁损或者丧失访问权。
表:国内相关立法有关数据泄露的条款
国外立法中选择breach而非loss,leak或者其他单词,是因为breach相对具有更丰富的内涵。如,美国加利福尼亚州《数据泄露通知法》将breach规定为对系统安全性(security of the system)的破坏。美国华盛顿州《数据泄露通知法》是美国最新的州层面立法,也保持了一致的规定,同样是对系统安全性(security of the system)的破坏(breach)。欧盟《隐私和电子通信指令》中将“个人信息泄露”(personal data breach)界定为对安全性的破坏所导致的意外或者非法毁坏、损失、篡改,未经授权地公开或者访问。欧盟《个人数据泄露通知条例》中也引用了《隐私和电子通信指令》的定义。《通用数据保护条例》(General Data Protection Regulation,GDPR)与《隐私和电子通信指令》一致,规定“个人数据泄露”是指对安全性的破坏,导致意外或非法毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为。
更深一层来看,结合国内外规定综合理解,data breach所指向的法律制度具有一致性。它不仅是一种对数据本身的破坏,而且是一种对安全义务的破坏,结果上表现为数据安全状态的丧失。这种破坏包括毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为等等,从而产生了breach的实际后果。所以说,数据泄露与数据安全保障义务密切相关,数据泄露在法律意义上指的是破坏了数据安全状态,而这种破坏可能是因为违反了数据安全保障义务所导致的。需要注意的是,两者之间又不必然具有因果关系。有些企业在采取了适当的安全保障措施后,仍然不幸地发生了数据泄露事件。因此,世界各国在数据立法中广泛地建立了数据泄露通知制度,以此作为应对数据泄露的有效法律手段。
三、何为数据泄露通知制度
数据泄露通知制度是指当企业发生数据泄露事件时,按照相关法律法规和内部政策要求,及时向受影响的用户、监管机构等相关方发出通知和报告的制度。其主要目的是保护用户的隐私权和数据安全,确保受影响的用户能够及时了解泄露事件的情况,采取必要的措施来减少损失和风险。同时,通过向监管机构报告,有助于监督机构及时了解数据泄露事件的情况,加强监管和追责。
一般而言,数据泄露通知制度通常包括以下内容:
1. 通知对象:包括受影响的用户、监管机构等相关方。
2. 通知内容:包括泄露事件的基本情况、影响范围、应对措施、联系方式等。
3. 通知方式:可以通过电子邮件、短信、电话、信函等方式进行通知。
4. 通知时间:在发现数据泄露事件后,应在合理的时间内向相关方发出通知。
5. 报告要求:向监管机构报告的要求,包括报告的时间、内容、方式等。
如根据《个人信息保护法》第五十七条第一款的规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(3)个人信息处理者的联系方式。
不过,企业势必会担心通知后产生的不利后果,导致承担严格的法律责任。这是制约数据泄露通知制度落地的重要情绪因素,也反向造成数据泄露持续成为新闻而又不断升级加剧。事实上,数据泄露通知的制度设计已经充分考量了这一问题,需要在实践中准确把握应用。按照规范的数据泄露通知制度要求,企业履行通知义务后,反而不应承担法律责任(需要符合具体场景,详见后文分析),并能够更有效地降低企业和用户损失。
四、数据泄露应当承担什么法律责任?
数据泄露属于网络安全事件的一种。国家网信办《网络安全事件报告管理办法(征求意见稿)》中将重要数据泄露、个人信息泄露等列入。欧盟也认为个人数据泄露属于数据安全事件。发生或者可能发生数据泄露时,就会直接触发企业的通知义务。前述列表中的相关法律规定均规定了数据泄露通知制度(《数据安全法》除外),即要求数据处理者在发生或者可能发生数据泄漏时,向主管部门或者用户报告。
数据泄露导致数据丧失安全状态的结果,应该是数据处理者并不期望发生的,或者其发生已经超出了数据处理者的控制能力范围。EDPB《关于个人数据泄露通知制度的指南2.0版》(Guidelines 9/2022 on personal data breach notification under GDPR,Version 2.0)中指出,数据泄露的结果是数据控制者(data controller)不能确保根据GDPR第5条的要求处理个人数据。恰恰是因为数据泄露难以绝对避免,而其又具有相当的数据安全风险,所以才对企业规定了通知的义务。数据泄露通知制度的通知,不具有自首的性质,也不是要求企业“自证其罪”。它的核心要义是,要求企业采取通知的行动,获取主管机关的指导或者资源支持,避免用户以及企业自身的进一步损失。
总结来说,数据治理各方都不应将“数据泄露”本身视为违法行为,否则数据泄露通知制度就失去了意义,也不具备落地的可能。数据泄露通知制度实际上是一种单独义务,它独立于数据安全保障义务。这一点比较难以理解,在国内也缺乏具体的行业实践,但这是准确认识数据泄露通知制度的关键,也是让数据泄露通知制度真正有效的逻辑起点。
具体理解数据泄露通知制度的独立性,需要考虑实践中可能出现四种情形(见下图):(1)履行了数据泄露通知义务,也履行了数据安全保障义务——不承担任何法律责任;(2)履行了数据泄露通知义务,而数据安全保障义务未履行——不产生泄露不通知的法律责任,但要承担未履行数据安全保障义务的法律责任;(3)未履行数据泄露通知义务,而履行了数据安全保障义务——不承担数据安全保障义务的法律责任,但要承担不通知的法律责任;(4)未履行数据泄露通知义务,也未履行数据安全保障义务——既要承担不通知的法律责任,也要承担未履行数据安全保障义务的法律责任。
数据泄露通知示意图(实线箭头为通知流程,虚线为安全保障义务流程)
之所以数据泄露通知制度具有独立性,是因为数据泄露本身的风险性,需要在短时间内调动足够的资源应对安全隐患,避免发生更恶性的后果。数据泄露通知本质上就是信息共享机制,而信息的来源就是企业。数据泄露通知制度应该设置单独的法律责任(很多数据泄露通知制度都有单独法律责任),以防止企业担心通知后产生对己不利的后果,而不采取通知的行动。事实上,全面推进落实数据泄露通知制度后,数据泄露的不利影响反而会大幅下降,变成常态化的社会风险事件,由政府、企业、用户以及专业第三方机构共同应对。而不应陷于企业被动曝光后(或者未被曝光但仍需自行应对)独自承担风险后果的非良性循环局面。
五、对企业的合规启发
数据泄露仍处于高发态势,但是在数字社会的发展和成熟过程中,数据泄露不是必然可以被根除的现象。数据泄露的发生与否,取决于企业数据安全保障水平的高低,也表现为攻防双方的零和博弈。绝对地在法律层面、监管层面和舆论层面对数据泄露采取绝对禁止性的态度,未必能够发挥应有的效果。我国通过十余年的立法进程,不断重申、持续完善数据泄露通知制度,这反而更应该是治理数据泄露难题的应有之道。值得注意的是,2023年12月,国家网信办向社会公开征求对《网络安全事件报告管理办法(征求意见稿)》的意见,表明主管层面已经在着手推动数据泄露通知相关制度走向实处。相关企业也应注意政策走向,特别是要关注数据泄露通知制度,根据自身情况及时作出调整,开展积极的准备工作。
建议企业提升数据安全保护意识,确保数据安全保障义务落实到位。数据安全保障义务需要持续投入和动态合规,且在数据泄露通知制度中具有终局性的效果——如果违反了数据安全保障义务,则难以免除法律责任。因此,需要按照《数据安全法》《个人信息保护法》等规定做好企业数据合规工作,特别是要结合企业自身规模、性质等,落实有关风险评估、影响评估、应急演练等法律规定,在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持,确保不违反硬性的数据安全保障义务。
建议企业对标相关法律法规中的数据泄露通知要求,以及《网络安全事件报告管理办法(征求意见稿)》,构建企业内部数据泄露等防控机制、监测机制以及报告机制。特别是要及时跟踪有关数据泄露通知的政策指引、标准指南等制定发布工作,调整好合规心态及合规思路,必要时借助专业第三方机构的支持,积极通过数据泄露通知制度获取行政支持,减少企业和用户损失,避免承担相应的法律责任。
扫码订阅“金杜律师事务所”,了解更多业务资讯