前沿观察,

防之于未萌,治之于未乱——跨国企业数据安全事件的预防与应对(下篇)

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:公司与并购-公司合规体系数字经济电信、传媒、娱乐与高科技-数据及隐私权保护

在上一篇文章(《防之于未萌,治之于未乱——跨国企业数据安全事件的预防与应对(上篇)》)中,我们对跨国企业制定中国本地化数据安全事件应急预案、数据安全事件影响评估机制的相关要点进行了梳理与总结。

若依据数据安全事件影响评估的判断结果,确认数据安全事件确实发生或可能发生,跨国企业需要进一步考虑如何根据中国数据保护相关法律法规的要求,将数据安全事件报告至主管部门和/或通知受影响的个人信息主体,以及如何确认和采取适当的补救措施。

一、报告/通知数据安全事件

(一)报告/通知的前提与例外

1. 报告通知的前提

中国数据保护相关法律法规规定,发生了数据安全事件后,相关企业应按照规定及时向主管部门报告并及时通知相应个人[1]。在可能发生数据安全事件的情况下:(1)针对可能发生的个人信息安全事件,相关企业仍需按照规定及时向主管部门报告并及时通知相应个人[2];(2)针对可能发生的不涉及个人信息安全事件的数据安全事件,根据该等数据安全事件造成或可能造成的危害或影响,按规定向有关监管部门报告[3]。

2. 报告/通知的例外

(1) 通知的例外

《个人信息保护法》第五十七条规定,企业采取措施能够有效避免个人信息安全事件造成危害的,可以不通知个人。

如何认定个人信息安全事件“造成危害”?《个人信息保护法》第一条明确其立法目的之一是为了保护个人信息权益,《个人信息保护法》第五十七条提到的“危害”可以理解为对个人信息权益造成或可能造成不利影响。《民法典》规定民事主体的人身权利、财产权利、人格尊严等合法权益严格受法律保护[4]。《个人信息保护法》在界定敏感个人信息时,亦提及敏感个人信息对自然人的人格尊严、人身安全及财产安全有着重要意义——一旦被泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害[5]。《信息安全技术-个人信息安全影响评估指南》(GB/T 39335-2020)指出,个人信息权益受影响可概括为限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力及人身财产受损四个维度[6]。

结合前述相关规定,我们理解对个人信息权益的危害至少包括几个方面:(1)危害人身与财产安全,如泄露、非法使用家庭住址、家属关系等家庭相关信息可能被不法活动所利用;(2)损害人格权,如泄露特定身份、医疗健康、犯罪记录等一旦泄露将侵害个人信息主体的人格尊严的敏感个人信息,或因个人种族、宗教信仰、性取向遭到歧视性待遇;(3)限制个人信息主体的自主决定权,如无法选择拒绝个性化广告的推送、被蓄意推送影响个人价值观判断的资讯等。

(2) 报告的例外

《个人信息保护法》第五十七条仅明确个人信息安全事件经采取措施能有效避免造成危害的情况下,企业可以不通知个人,但未豁免向主管部门报告的义务。根据《个人信息保护法》第六十六条,企业未履行上报义务,将可能面临行政处罚包括责令改正,给予警告,没收违法所得,责令暂停或终止相关应用程序服务;拒不改正的,将被处以一百万元以下的罚款;情节严重的,将被处以高额罚款,停业整顿,吊销相关业务许可或营业执照。有观点认为,如果个人信息安全事件没有造成实际危害,企业因没有报告个人信息安全事件而面临严厉处罚的可能性较低。

此外,《电信和互联网用户个人信息保护规定》、《互联网信息安全管理系统使用及运行维护管理办法(试行)》及《互联网平台落实主体责任指南(征求意见稿)》中均规定当个人信息安全事件造成或者可能造成严重后果的,企业应向有关主管部门报告[7]。虽然该等法律法规的位阶低于《个人信息保护法》,且其中《互联网平台落实主体责任指南(征求意见稿)》尚未生效,《电信和互联网用户个人信息保护规定》及《互联网信息安全管理系统使用及运行维护管理办法(试行)》的生效时间均早于《个人信息保护法》,理论上应以《个人信息保护法》的规定为准,不过该等法律法规仍具有一定参考价值。

而针对个人信息安全事件以外的数据安全事件,根据《国家网络安全事件应急预案》及《公共互联网网络安全突发事件应急预案》,只有对社会构成一定威胁或影响的网络安全事件才触发企业的报告义务[8]。以《公共互联网网络安全突发事件应急预案》为例,其将网络安全事件分为特别重大事件、重大事件、较大事件、一般事件四级,其中程度最轻的一般事件需符合下列情形之一:(1)1个地市大量互联网用户无法正常上网;(2)10万以上互联网用户信息泄露;(3)其他造成或可能造成一般危害或影响的网络安全事件[9]。根据《网络数据安全管理条例(征求意见稿)》,发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时需要向有关主管部门进行报告[10]。

结合上述法律规定及我们的实践经验,数据安全事件的报告/通知义务不是完全绝对的,企业应根据数据安全事件对个人权益、国家安全、社会公共利益等造成的危害和影响,按照法规规定逐案进行评估。

(二)报告/通知的主体

报告/通知的主体一般为发生数据安全事件的境内的网络运营者、数据处理者和/或个人信息处理者。

由于境内企业可能将一部分中国境内收集的个人信息跨境传输至境外总部,若境外总部发生了数据安全事件并使其从境内企业接收的中国境内收集的个人信息受到影响,境外总部将需要根据其与境内企业签署的协议(比如《个人信息出境标准合同》)在发生个人信息安全事件后立即通知作为个人信息处理者的境内企业,并应根据相关法律法规的要求,向主管部门报告并通知个人信息主体[11]。

(三)报告/通知的时间起点及期限

1. 报告/通知的时间起点

关于企业“立即”报告/通知的起算点应是“知晓事件发生”的节点,还是“事件实际发生”的节点,目前中国数据安全相关法律法规尚未明确。

企业通常只能在知悉相关安全事件发生后才可能向主管部门报告、通知用户。但根据相关法律法规的要求,企业应当持续对数据安全风险进行预防、监测及识别,一旦发生可能造成数据安全事件的风险,就应当立即采取补救措施尽可能避免损害。如果企业按照相关要求持续对数据安全风险进行预防、监测及识别,并在发生数据风险后采取了补救措施,即使最终未能避免数据安全事件的发生,理论上企业也能够在第一时间发现数据安全事件的实际发生。实践中,我们理解中国的监管部门可能会倾向于以数据安全事件实际发生作为报告/通知的节点。

2. 报告/通知的期限

中国数据保护相关法律法规大多要求企业在发生数据安全事件后“立即”或“及时”通知用户并向主管机关报告,但未明确如何界定“立即”或“及时”[12]。《网络数据安全管理条例(征求意见稿)》细化了“立即”或“及时”的内涵,具体为:(1)数据处理者应当在数据安全事件发生并对个人、组织造成危害的三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人;(2)发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等[13]。实践中报告/通知的期限可能会基于数据安全事件的具体情况存在一定弹性空间。

此外,根据《计算机信息系统安全保护条例》及《网络数据安全管理条例(征求意见稿)》,若数据安全事件可能涉及刑事、行政案件,企业应在24小时内向当地县级以上人民政府公安机关报告、报案[14]。

(四)报告/通知的内容

根据中国数据保护相关法律法规,向有关主管部门报告和向个人信息主体通知的内容大体一致,主要包括:(1)数据安全事件的基本信息及风险情况;(2)数据安全事件造成的影响和危害;(3)拟采取或已采取的补救措施;(4)相关负责人的联系方式等。向有关主管部门报告时一般还需提供数据安全事件涉及的数据总数量及类型,以便有关主管部门了解数据安全事件的整体影响;向个人信息主体通知时一般还需告知个人信息主体可以采取的减轻危害的措施,且需注意应采用通俗易懂的语言[15]。

(五)报告/通知的对象

1. 通知的对象

通知的对象一般应为受到数据安全事件影响的个人[16]。需要特别提示的是,根据《网络数据安全管理条例(征求意见稿)》第十一条,“无法通知的可采取公告方式告知”。但是,《网络数据安全管理条例(征求意见稿)》未明确“无法通知”与“公告方式告知”的具体含义。

参考民事诉讼活动中对法院“无法送达”的一般认定方法[17],我们理解当作为数据处理者的企业穷尽有关个人提供的电话、短信、即时通信工具、电子邮件等联系方式,仍然无法向有关个人通知数据安全事件情况的,应属于“无法通知”的情形,例如,有关个人信息主体的电话是空号导致无法通过电话和短信送达通知,且邮箱地址有误导致发往邮箱的通知被退回等。此外,《信息安全技术 个人信息安全规范》规定,在难以逐一告知个人信息主体安全事件时,应采取合理、有效的方式发布与公众有关的警示信息[18]。因此,我们理解如果数据泄露涉及的利害关系人数量较多导致难以逐一告知的,也可能属于“无法通知”的情形。

参考《信息安全技术 网络安全事件通报预警 第2部分:通报预警流程规范》及民事诉讼活动中“公告送达”这一送达方式,我们理解“公告通知”的实现方式包括在企业官网或其他相关网页、相关APP、微信公众号、相关报纸上发布有关数据安全事件的公告。

2. 报告的对象

报告的对象一般为有关主管部门,具体而言:(1)根据《个人信息保护法》,发生或可能发生个人信息安全事件时,应通知履行个人信息保护职责的部门[19]。《个人信息保护法》下履行个人信息保护职责的部门包括国家网信部门(负责统筹协调个人信息保护工作和相关监督管理工作)、国务院有关部门(在各自职责范围内负责个人信息保护和监督管理工作)及县级以上地方人民政府有关部门[20];(2)《网络安全法》下的有关主管部门包括国家网信部门(负责统筹协调网络安全工作和相关监督管理工作)、国务院电信主管部门、公安部门和其他有关机关(在各自职责范围内负责网络安全保护和监督管理工作)及县级以上地方人民政府有关部门[21];(3)《数据安全法》下的有关主管部门包括行业主管部门(工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责)、公安机关和国家安全机关(在各自职责范围内承担数据安全监管职责),及国家网信部门(负责统筹协调网络数据安全和相关监管工作)[22];(4)《国家网络安全事件应急预案》及《公共互联网网络安全突发事件应急预案》下网络安全事件的主管部门包括应急管理部门[23]。

结合上述法律法规我们理解有关主管部门主要包括网信部门、行业主管部门、公安机关和国安机关、地方人民政府有关部门及应急管理部门。但现有的数据保护相关法律法规尚未明确发生数据安全事件是否需要同时向所有有关主管部门进行报告,还是可向其中某一主管部门报告再由该主管部门与其他主管部门进行沟通协调;亦尚未明确需要通知的主管部门的层级及选择标准(如以注册地为准还是以数据安全事件发生地为准)。

(六)对境外总部报告/通知安排的借鉴

1. 报告/通知的前提与例外

GDPR项下,向有关主管部门报告的前提是发生了个人数据泄露,除非个人数据泄露对于自然人的权利与自由不太可能带来风险[24];向有关个人数据主体通知的前提是个人数据泄露可能给自然人的权利与自由带来高风险,但若满足以下例外情形,则无需逐一通知个人数据主体:(1)数据控制者已采取合适的技术与组织保证措施(特别是已经采用使得未被授权访问的个人无法辨识个人数据的措施,如加密);(2)数据控制者已经采取后续措施,给数据主体的权利与自由带来的高风险不再有实现的可能;(3)在通知的工作量过大时,应当通过大众传媒或者类似的手段来使数据主体获得同样有效的告知[25]。

关于报告的前提(可能带来风险)以及通知的前提(带来高风险)的识别标准,Guidelines 9/2022 on personal data breach notification under GDPR给出了进一步的指引。一般情况下,若泄露的数据已被适当地加密,未经授权者基本上不太可能知悉数据内容时,可能被理解为“对于自然人的权利与自由不太可能会带来风险”[26];当被泄露的数据涉及民族、血统、政治观点、宗教或哲学信仰、工会会员资格、基因数据、有关健康的数据、有关性生活的数据、有关刑事定罪和犯罪或相关安全措施的数据时,应视为“能给自然人权利与自由带来高风险”,将触发通知义务[27]。尽管有上述指引,但总体而言,“带来风险”和“带来高风险”仍需要结合个案动态判断,且相关认定标准可能会随着事件的后续进展而有所改变,如加密数据的密码后续被泄露或公开等[28]。不难发现,相较于《个人信息保护法》中的现有规定,GDPR对报告/通知义务触发的门槛更高。

California Consumer Privacy Act of 2018(“CCPA”,于2020年1月1日生效)是对加州民法典的一个修正案(作为加州民法典第三编第4节第1.81.5章(包括第1798.100至第1798.198条)),主要对消费者隐私保护进行了一般规定;California Privacy Rights Act of 2020(“CRPA”,于2022年12月16日生效)亦是对加州民法典的一个修正案,其对CCPA的内容进行了进一步修订和补充,并增加了第1798.199.10至第1798.199.100条,对消费者隐私保护进行了进一步细化规定。除CCPA与CPRA外,还有其他修正案对加州民法典中消费者隐私保护相关的内容进行了进一步规定,如AB1130号议案(2019-2020),其对加州民法典第1798.82条等条款进行了修订,对数据泄露问题进行了详细规定。

根据加州民法典,向有关个人通知的前提是发现数据安全违规[29];向总检察长报告的前提是需要通知超过500名加州居民数据安全违规[30]。相较于《个人信息保护法》中的现有规定,加州民法典要求个人信息泄露达到了一定量级才需要向主管政府部门报告,门槛更高。

2. 报告/通知的时间起点及期限

(1) 报告/通知的时间起点

GDPR明确了报告的时间起点为数据控制者“知悉”(aware)数据安全事件后。欧盟在Guidelines 9/2022 on personal data breach notification under GDPR中指出,当数据控制者在被告知或自行发现数据泄露事件后,可能会需要一定的“缓冲期”以展开初步调查或数据安全事件影响评估,合理确认是否确实发生了相关数据安全事件,在“缓冲期”内,数据控制者可能被认定为尚未知悉[31]。GDPR对该等报告时间节点的要求,相较于《个人信息保护法》中的规定更为清晰。

(2) 报告/通知的期限

GDPR明确规定,原则上数据控制者应在知晓数据泄露事件后立即(且不超过72小时)向主管机关报告个人数据泄露事件,如果未能在72小时内报告,需说明理由[32],如果无法一次性提供所有信息,可及时分阶段提供[33]。GDPR未明确向个人数据主体通知数据泄露事件的期限,仅要求“立即”通知,不得不合理地拖延,实践中可参考向主管机关报告的“72小时”期限[34]。

中国数据保护相关法律法规大多仅要求企业在发生数据安全事件后“立即”或“及时”通知有关个人并向主管机关报告,但未明确如何界定“立即”或“及时”。实践中,我们了解到各地不同主管机关对“立即”或“及时”的理解存在差异,但一般都不会超过数据安全事件发生后的72小时,较为严格的甚至可能要求在数据安全事件发生后的24小时内完成报告/通知义务,相较于GDPR而言更加严格。

关于通知/报告的时限,加州民法典仅明确了应在发现数据安全违规后“尽快且不得无故拖延”地履行通知/报告义务,但未明确具体的时限[35],与中国数据保护相关法律法规的要求类似。此外,若执法机构确定通知会妨碍刑事调查,则可以延迟通知,在执法机构确定不会损害调查结果后,应立即发出通知[36]。

3. 报告/通知的内容

GDPR下要求的报告/通知的内容主要包括:(1)描述个人数据泄露的性质,在可能的情形下包括相关数据主体的类型和大致的数量,以及涉及到个人数据的类型与大致数量(该项仅要求向主管机关报告,无需向个人数据主体通知);(2)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;(3)描述个人数据泄露的可能后果;(4)描述数据控制者应对数据泄漏已经采取或计划采取的措施,包括减少负面影响的措施[37]。

加州民法典下要求的报告/通知的内容主要包括:(1)泄露的个人信息类型列表;(2)泄露事件的一般描述;(3)报告人或企业的名称和联系信息;(4)泄露日期、预计泄露日期或泄露事件发生的时间范围,以及通知的日期;(5)通知是否应执法调查而延迟;(6)如果泄露行为暴露了社保号码、驾照或加州身份证号码,主要信用报告机构的免费电话号码和地址;(7)如果提供通知的个人或企业是泄露的源头,主动向受影响的个人提供不少于12个月的免费的身份盗用预防服务等。企业还可以自行决定在通知/报告中包括:(1)有关个人或企业为保护信息遭到泄露的个人所做的工作的信息;(2)就信息遭到泄露的个人为保护自己而可能采取的步骤提供建议等[38]。

整体而言,GDPR与加州民法典对报告/通知内容的规定相较于中国数据保护相关法律法规更为详细、周延,可供参考和借鉴。

4. 报告/通知的对象

根据GDPR,通知的对象应为受数据泄露事件影响的个人数据主体,报告的对象为有权主管机关,即欧盟各成员国的数据监管机构。在通知的工作量过大时,应当通过大众传媒或者类似的手段来使数据主体获得同样有效的告知,无需逐一通知个人数据主体[39]。

根据加州民法典,通知的对象为受数据安全违规影响的加州居民,报告的对象为加州总检察长[40]。类似的,加州民法典同样规定,若企业能够证明其通知成本将超过25万美元,或需通知的主体将超过50万人,或没有足够的联系方式时,可以选择以替代方式通知,替代方式通知须同时进行以下所有举措:(1)以电子邮件的方式通知;(2)在企业官网的醒目位置发布通知且持续30天以上;(3)通知加州主要媒体[41]。如上所述,虽然中国《网络数据安全管理条例(征求意见稿)》亦规定了“无法通知的可采取公告方式告知”[42],但并未明确“无法通知”与“公告方式告知”的具体含义。GDPR和加州民法典中有关公告通知或替代通知的规定可供参考和借鉴。

综上,在报告/通知的前提与例外、期限、内容及对象等事项上,中国当前的要求与欧盟、美国存在一定差异(如中国对报告/通知义务触发的门槛更低),因此,跨国企业在发生数据安全事件时,不能直接借鉴境外总部的做法,而应该结合中国合规要求,内部评估后续报告/通知义务的履行。

鉴于中国当前关于数据安全事件报告/通知的法律法规尚不够清晰和具体,跨国企业可事先与相关主管部门沟通,确认主管部门的层级及选择标准、需要报告/通知的情形、不同情形下报告/通知的期限、报告/通知的内容及报告/通知的对象等事项的具体要求和标准。若后续出台了有关报告/通知的更为清晰的规定及指引,跨国企业应及时结合该等规定及指引对数据安全事件应急预案进行修订和完善。数据安全事件发生后,跨国企业应进行数据安全事件影响评估,并根据评估结果确定是否报告/通知,在多长时间内报告/通知,以及报告/通知的具体内容。

在下述表1中,我们对中国、欧盟、美国(加州)报告/通知数据安全事件相关法律法规进行了梳理,供查阅参考。

表1:中国、欧盟、美国(加州)报告/通知数据安全事件相关法律法规梳理

二、采取补救措施

(一)一般要求

中国《网络安全法》、《数据安全法》、《个人信息保护法》及《个人信息出境标准合同》等中国数据保护相关法律法规均明确要求企业应在数据安全事件发生后立即或及时采取补救措施[43]。此外,《公共互联网网络安全突发事件应急预案》也规定,公共互联网网络安全突发事件发生后,有关互联网企业应在报告主管部门的同时,采取先行处置措施,尽最大努力恢复网络和系统运行,尽可能减少对用户和社会的影响,同时注意保存网络攻击、网络入侵或网络病毒的证据[44]。

参考《信息安全技术-信息安全应急响应计划规范》(GB/T 24363-2009),当数据安全事件发生、应急预案启动后,应急响应小组在有效控制了数据安全事件影响后,开始实施恢复操作,恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等[45]。根据该等规范提供的范本及实践经验,我们理解常见的补救措施包括:(1)判断破坏的来源与性质;(2)关闭影响安全与稳定的信息设备;(3)断开与破坏来源的物理连接;(4)跟踪并锁定破坏来源的IP或其它用户信息;(5)修复被破坏的信息,恢复信息系统等[46]。

为找到合适、有效的补救措施,跨国企业可考虑进行数据安全事件影响评估,具体可参考《防之于未萌,治之于未乱——跨国企业数据安全事件的预防与应对(上篇)》。

(二)对境外总部采取补救措施安排的借鉴

GDPR规定的报告/通知的内容清单中包含“数据控制者应对数据泄漏已经采用或计划采用的措施,包括减少负面影响的措施”[47]。特别地,GDPR还要求企业记录其就个人数据泄露事件采取的补救措施[48]。在Guidelines 9/2022 on personal data breach notification under GDPR中,欧盟数据保护委员会(EDPB)举例说明了如何在通知中阐释“减少负面影响的措施”。根据此指引,作为数据控制者的企业可以在通知中声明其已经向监管机构报告并收到了来自监管机构的有关补救措施的建议,也可以在通知中酌情向有关个人提供诸如重设密码等建议[49]。

此外,在Guidelines 01/2021 on examples regarding personal data breach notification中,EDPB对企业可采取的防止/减少相关安全事件损害的技术措施进行了列举,包括但不限于打开设备的加密功能、在所有设备上使用密码/口令、使用多因素认证、打开丢失/误置下的定位功能等[50]。再如,根据此指引,若数据控制者在相关安全事件发生后及时联系了数据接收方,也可视为减轻影响的补救措施之一[51]。该指引明确,指引中列举的补救措施并非唯一列举或全面列举,指引旨在提供预防建议和可能的解决方案,每个处理活动都是不同的,因此数据控制者应决定在特定的情况下应采取哪些措施[52]。

美国加州民法典项下的通知/报告内容清单包括:(1)有关个人或企业为保护信息遭到泄露的个人所做的工作的信息;(2)就信息遭到泄露的人为保护自己而可能采取的步骤提供建议[53],即涵盖了企业已采用或可采用的补救措施。此外,加州民法典进一步规定,若企业在收到消费者书面通知的30日内纠正违规行为,可免于民事责任[54]。换言之,若企业及时采取补救措施消除数据安全违规或系统安全违规对个人的影响,可免受民事责任。

综上,跨国企业应在准备数据安全事件应急预案阶段即明确数据安全事件发生后可采取的补救措施的框架,并在发生数据安全事件后,结合数据安全事件影响评估的结果确定具体的补救措施。采取补救措施的过程中,跨国企业或需向境外总部的IT部门寻求支持。境外总部的IT可以协助跨国企业找到相关系统的漏洞,并加强系统安全部署,恢复被损坏的数据等。除寻求境外总部的支持外,为了尽快采取合理的补救措施,跨国企业亦需加强本土IT、法务、公共关系等部门的建设,并聘请中国本地的外部法律和技术服务等团队。

在下述表2中,我们对中国、欧盟、美国(加州)数据安全事件补救措施相关法律法规进行了梳理,供查阅参考。

表2:中国、欧盟、美国(加州)数据安全事件补救措施相关法律法规梳理

三、总结

近年来,在为数字经济保驾护航的大背景下,数据合规相应的处罚、执法力度不断加强。公安机关自“净网2018”专项行动以来已全面实行“一案双查”制度。在数据安全事件发生后,公安机关在对网络违法犯罪案件进行侦查的同时,也会同步监督检查受到攻击的企业对法定网络安全义务的履行情况,包括企业是否具备合法合规的应急预案及应急预案是否被有效启用、是否依法履行了报告/通知义务,以及是否采取有效的补救措施。

因此,跨国企业有必要在数据安全事件发生前,制定符合中国数据合规要求的数据安全事件应急预案,该等应急预案中应包括数据安全事件发生后报告/通知及采取补救措施的相关安排,从而做到“防之于未萌”。数据安全事件发生后,跨国企业应进行数据安全事件影响评估,并根据评估结果确定是否报告/通知,在多长时间内报告/通知,报告/通知的具体内容,以及如何采取补救措施,及时开展应对工作,从而做到“治之于未乱”。

感谢实习生黄清韵对本文作出的贡献。

 扫码下载文章

《网络安全法》第25条及第42条、《数据安全法》第29条、《个人信息保护法》第57条。

《网络安全法》第42条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《电信和互联网用户个人信息保护规定》第14条、《互联网平台落实主体责任指南(征求意见稿)》第27条。

《公共互联网网络安全突发事件应急预案》第4.1及第4.2条、《工业和信息化领域数据安全管理办法(试行)》第27及第28条。

《民法典》第3条、第109条。

《个人信息保护法》第28条。

《信息安全技术-个人信息安全影响评估指南》(GB/T 39335-2020)第5.5.1条。

《电信和互联网用户个人信息保护规定》第14条、《互联网信息安全管理系统使用及运行维护管理办法(试行)》第14条及《互联网平台落实主体责任指南(征求意见稿)》第27条。

《国家网络安全事件应急预案》第1.4条、《公共互联网网络安全突发事件应急预案》第3条。

《公共互联网网络安全突发事件应急预案》第3条。

《网络数据安全管理条例(征求意见稿)》第11条。

《个人信息标准合同》第三条第(七)款。

《网络安全法》第25条及第42条、《数据安全法》第29条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《信息安全技术-个人信息安全规范》(GB/T 35273-2020)第10.1及第10.2条等。

《网络数据安全管理条例(征求意见稿)》第11条。

《计算机信息系统安全保护条例》第14条、《网络数据安全管理条例(征求意见稿)》第11条。

《公共互联网网络安全突发事件应急预案》第4.1条、《信息安全技术 网络安全事件通报预警第2部分:通报预警流程规范》第5.1.4条、《网络数据安全管理条例(征求意见稿)》第11条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《信息安全技术-个人信息安全规范》第10.1条及第10.2条。

《网络安全法》第42条、《数据安全法》第29条、《网络数据安全管理条例(征求意见稿)》第11条、《个人信息保护法》第57条、《信息安全技术-个人信息安全规范》(GB/T 35273-2020)第10.2条。

《民事诉讼法》第95条。

《信息安全技术 个人信息安全规范》(GB/T 25273-2020)第10.2条。

《个人信息保护法》第57条。

《个人信息保护法》第60条。

《网络安全法》第8条。

《数据安全法》第6条。

《国家网络安全事件应急预案》第4.1条、《公共互联网网络安全突发事件应急预案》第4.1条。

GDPR第33条。

GDPR第34条。

Guidelines 9/2022 on personal data breach notification under GDPR第78段。

Guidelines 9/2022 on personal data breach notification under GDPR第102段。

Guidelines 9/2022 on personal data breach notification under GDPR第78段。

加州民法典第1798.82(a)条。

加州民法典第1798.82(f)条。

Guidelines 9/2022 on personal data breach notification under GDPR第34段。

GDPR第33(1)条。

GDPR第33(4)条。

GDPR第34(1)条。

加州民法典第1798.82(a)条。

加州民法典第1798.82(c)条。

GDPR第33条及第34条。

加州民法典第1798.82(d)条。

GDPR第34条。

加州民法典第1798.82(a)及(f)条。

加州民法典第1798.82(j)(3)条。

《网络数据安全管理条例(征求意见稿)》第11条。

《网络安全法》第25条及第42条、《数据安全法》第29条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《网络数据安全管理条例(征求意见稿)》第11条。

《公共互联网网络安全突发事件应急预案》第5.2条。

《信息安全技术-信息安全应急响应计划规范》(GB/T 24363-2009)第6.5.4.1条。

《信息安全技术-信息安全应急响应计划规范》(GB/T 24363-2009)附录A-信息安全应急响应计划示例第4.4条。

GDPR第33(1)及(3)条、GDPR第34(1)及(2)条。

GDPR第33(5)条。

Guidelines 9/2022 on personal data breach notification under GDPR第87段。

Guidelines 01/2021 on examples regarding personal data breach notification第105段。

Guidelines 01/2021 on examples regarding personal data breach notification第116段。

Guidelines 01/2021 on examples regarding personal data breach notification第105段。

加州民法典第1798.82条。

加州民法典第1798.150条。

参考资料

  • [1]

    《网络安全法》第25条及第42条、《数据安全法》第29条、《个人信息保护法》第57条。

  • [2]

    《网络安全法》第42条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《电信和互联网用户个人信息保护规定》第14条、《互联网平台落实主体责任指南(征求意见稿)》第27条。

  • [3]

    《公共互联网网络安全突发事件应急预案》第4.1及第4.2条、《工业和信息化领域数据安全管理办法(试行)》第27及第28条。

  • [4]

    《民法典》第3条、第109条。

  • [5]

    《个人信息保护法》第28条。

  • [6]

    《信息安全技术-个人信息安全影响评估指南》(GB/T 39335-2020)第5.5.1条。

  • [7]

    《电信和互联网用户个人信息保护规定》第14条、《互联网信息安全管理系统使用及运行维护管理办法(试行)》第14条及《互联网平台落实主体责任指南(征求意见稿)》第27条。

  • [8]

    《国家网络安全事件应急预案》第1.4条、《公共互联网网络安全突发事件应急预案》第3条。

  • [9]

    《公共互联网网络安全突发事件应急预案》第3条。

  • [10]

    《网络数据安全管理条例(征求意见稿)》第11条。

  • [11]

    《个人信息标准合同》第三条第(七)款。

  • [12]

    《网络安全法》第25条及第42条、《数据安全法》第29条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《信息安全技术-个人信息安全规范》(GB/T 35273-2020)第10.1及第10.2条等。

  • [13]

    《网络数据安全管理条例(征求意见稿)》第11条。

  • [14]

    《计算机信息系统安全保护条例》第14条、《网络数据安全管理条例(征求意见稿)》第11条。

  • [15]

    《公共互联网网络安全突发事件应急预案》第4.1条、《信息安全技术 网络安全事件通报预警第2部分:通报预警流程规范》第5.1.4条、《网络数据安全管理条例(征求意见稿)》第11条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《信息安全技术-个人信息安全规范》第10.1条及第10.2条。

  • [16]

    《网络安全法》第42条、《数据安全法》第29条、《网络数据安全管理条例(征求意见稿)》第11条、《个人信息保护法》第57条、《信息安全技术-个人信息安全规范》(GB/T 35273-2020)第10.2条。

  • [17]

    《民事诉讼法》第95条。

  • [18]

    《信息安全技术 个人信息安全规范》(GB/T 25273-2020)第10.2条。

  • [19]

    《个人信息保护法》第57条。

  • [20]

    《个人信息保护法》第60条。

  • [21]

    《网络安全法》第8条。

  • [22]

    《数据安全法》第6条。

  • [23]

    《国家网络安全事件应急预案》第4.1条、《公共互联网网络安全突发事件应急预案》第4.1条。

  • [24]

    GDPR第33条。

  • [25]

    GDPR第34条。

  • [26]

    Guidelines 9/2022 on personal data breach notification under GDPR第78段。

  • [27]

    Guidelines 9/2022 on personal data breach notification under GDPR第102段。

  • [28]

    Guidelines 9/2022 on personal data breach notification under GDPR第78段。

  • [29]

    加州民法典第1798.82(a)条。

  • [30]

    加州民法典第1798.82(f)条。

  • [31]

    Guidelines 9/2022 on personal data breach notification under GDPR第34段。

  • [32]

    GDPR第33(1)条。

  • [33]

    GDPR第33(4)条。

  • [34]

    GDPR第34(1)条。

  • [35]

    加州民法典第1798.82(a)条。

  • [36]

    加州民法典第1798.82(c)条。

  • [37]

    GDPR第33条及第34条。

  • [38]

    加州民法典第1798.82(d)条。

  • [39]

    GDPR第34条。

  • [40]

    加州民法典第1798.82(a)及(f)条。

  • [41]

    加州民法典第1798.82(j)(3)条。

  • [42]

    《网络数据安全管理条例(征求意见稿)》第11条。

  • [43]

    《网络安全法》第25条及第42条、《数据安全法》第29条、《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款、《网络数据安全管理条例(征求意见稿)》第11条。

  • [44]

    《公共互联网网络安全突发事件应急预案》第5.2条。

  • [45]

    《信息安全技术-信息安全应急响应计划规范》(GB/T 24363-2009)第6.5.4.1条。

  • [46]

    《信息安全技术-信息安全应急响应计划规范》(GB/T 24363-2009)附录A-信息安全应急响应计划示例第4.4条。

  • [47]

    GDPR第33(1)及(3)条、GDPR第34(1)及(2)条。

  • [48]

    GDPR第33(5)条。

  • [49]

    Guidelines 9/2022 on personal data breach notification under GDPR第87段。

  • [50]

    Guidelines 01/2021 on examples regarding personal data breach notification第105段。

  • [51]

    Guidelines 01/2021 on examples regarding personal data breach notification第116段。

  • [52]

    Guidelines 01/2021 on examples regarding personal data breach notification第105段。

  • [53]

    加州民法典第1798.82条。

  • [54]

    加州民法典第1798.150条。

  • 展开
最新文章
前沿观察
在商业、办公地产项目的运营法律实务中,国有企业持有的不动产租赁项目一直备受关注。如何依法规范并强化此类项目的管理,是国有企业实践中频繁面临的课题。考虑到上海市国资委对其监管企业(下称“市管企业”)已有较为成熟的制度规定且监管操作较为规范,我们特基于过往丰富的实务经验,对市管企业持有的不动产租赁项目管理的若干要点进行总结与解读,主要从不动产招租程序的合规管理、减免承租方等相关方违约责任涉及的国有资产流失风险把控、不动产租赁项目运营中的招投标合规操作以及在公开招租程序中保护现有承租人的优先承租权这四个维度展开,旨在为相关企业提供借鉴,助力其在不动产租赁管理领域稳健前行。公司与并购-房地产业务,房地产-房地产租赁

2025/02/11

前沿观察
千帆竞发,百舸争流。经历了早期探索、制度建设和创新发展数个阶段后,紧握“一带一路”政策机遇,中国企业出海已经成为全球国际化力量的一部分。中国企业的出海,有些是应对大国博弈的供应链攻防战,是新时代长征反围剿,更多的则是逐渐成熟和自信起来的中国企业家在全球视野下主动战略布局、重塑供应链、提升竞争力、更全面融入世界。 相较于已多年征战南北东西的大型央国企巨轮,中国的中小企业,尽管胸怀四海之志,很多仍是初次身临陌生海域。有的望洋兴叹,海岸线太长,想去的地方太多,不知从何起步;有的随风启航,随浪起落,漂到哪里算哪里,目的性不强;有的全局在胸,远景在望,但困于先后、主次、轻重、取舍不明。 本系列境外投资文章以法律为主视角,从出海战略布局规划、架构搭建、国别择选、出海经验谈等方面,为出海远征的中国企业提供管窥之见,以期能协助中国企业谋定后动、行稳致远。 继《境外投资系列丨兵法视角下之出海战略布局(一)》类比孙子兵法中用兵主要战略要素和出海战略布局考虑因素,介绍出海战略布局(庙算)重要性、回顾企业出海政策发展(道)、出海愿景目标(胜)之后,本文对在出海战略布局中如何进行“地利”的规划进行探讨。一带一路国际法律业务-国际投融资与工程

2025/02/11

前沿观察
继我们2021年初发布《“带路”俄语国家法律ABC》系列文章,随着俄乌冲突爆发、美欧对俄制裁升级以及国际地缘政治局势和经济形势的变化,中国企业在俄语国家的投资布局也在悄然发生改变。为便于投资者了解俄语国家热点投资国别最新的投资法律框架,我们特对此前发布的系列文章予以更新,以飨读者。 本系列将涵盖吉尔吉斯斯坦、乌兹别克斯坦、哈萨克斯坦、俄罗斯和乌克兰等国别。本文为本系列的第一篇——吉尔吉斯斯坦篇。一带一路国际法律业务-国际投融资与工程

2025/02/10