数据作为数字经济时代最核心、最具价值的生产要素,正深刻地改变着人类社会的生产和生活方式[1]。但与此同时,数据安全事件频发,使数字经济发展面临安全隐忧,不但可能使企业遭受经济损失和公众声望贬损,也可能危及大量个人的隐私和信息安全。
根据某机构的统计,2022年全球各地数据泄露事件频繁发生,其中政府部门、国际组织、门户网站、国防机构、航空公司、银行、汽车制造商、学校、酒店、医疗等行业已成为数据泄露重灾区,数亿人的隐私和安全受到威胁,包括“数据泄露后遗症”(近50%的数据泄露成本是在泄露发生一年多后产生)在内的已知和潜在损失高达数万亿美元[2]。
近年来中国数据泄露事件不断上升,统计数据显示,2022年中国以51,309,972起数据泄露事件位列全球第三[3]。例如某大型公司因部分员工租售其员工账户导致几十万条个人信息被泄露,该公司负责人被网信、公安等部门约谈和整改;某银行因数据安全管理不健全,存在数据泄露风险,网络信息系统存在较多漏洞等问题,被银保监会处以几百万元罚款;某大型超市因网络系统存在多项可利用的网络安全漏洞,未及时处置系统漏洞,被公安机关给予警告,并责令改正;广州某公司开发的某“培训平台”存储培训学员的姓名、身份证号、手机号、个人照片等信息千万余条,但未对个人信息采取去标识化和加密措施,存在数据安全隐患,被某公安局处以警告并罚款。
在数字经济的浪潮中,跨国企业在日常经营管理过程中往往需要与境外总部联动,全球化运营和数据流动也使得跨国企业面临日益严峻的数据安全挑战。跨国企业有必要在部署全球化数据安全策略和机制的同时,高度关注中国法律法规对数据安全事件的合规要求,并制定本地化数据安全事件的事前预防和事后响应机制。
一、数据安全事件应急预案
数据安全事件应急预案是企业发生数据安全事件之后的内部方针指引。预案本身的意义在于帮助企业在紧急状态下,平稳有序地组织企业内部相关部门开展一系列响应措施。
(一)应急预案的覆盖范围
中国数据保护相关立法中与数据安全事件相关的概念包括网络安全事件、数据安全事件、个人信息安全事件等,主要规定于《网络安全法》、《数据安全法》及《个人信息保护法》等法规中,该等法规分别对相关安全事件的事前预防及事后应对措施提出了要求:
1. 网络安全事件
《网络安全法》中未直接对网络安全事件进行定义,但列举了几类可能造成网络安全事件的安全风险,如系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险[4]。《国家网络安全事件应急预案》将网络安全事件定义为由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件[5]。《网络安全法》要求网络运营者制定网络安全事件应急预案,并在发生危害网络安全的事件时,立即启动应急预案[6]。网络运营者是指“网络的所有者、管理者和网络服务提供者”,因此只要拥有、管理或运营计算机或其他信息终端及相关设备组成的按照一定规则和程序对信息进行处理的信息系统(包括但不限于互联网、局域网、内网等)的主体,均属于网络运营者。实践中,大部分企业都落入网络运营者的范畴。
2. 数据安全事件及个人信息安全事件
《数据安全法》中未直接对数据安全事件进行定义,但列举了几类可能造成数据安全事件的安全风险,如数据安全缺陷、漏洞等风险[7]。《网络数据安全管理条例(征求意见稿)》中进一步列举数据遭受泄露、窃取、篡改、毁损、丢失、非法使用等属于数据安全事件[8]。参考网络安全事件的定义,数据安全事件的定义可以被归纳为可能导致数据遭受泄露、窃取、篡改、毁损、丢失、非法使用等对数据造成危害的事件。《数据安全法》未直接要求数据处理者制定数据安全事件应急预案,但要求数据处理者“建立健全全流程数据安全管理制度”,数据安全事件应急预案应属于流程数据安全管理制度中不可或缺的一部分[9]。《工业和信息化领域数据安全管理办法(试行)》明确要求工业和信息化领域的数据处理者应根据应对数据安全事件的需要,制定应急预案[10]。
《个人信息保护法》、《儿童个人信息网络保护规定》中亦未直接对个人信息安全事件进行定义,但个人信息安全事件通常被理解为可能导致个人信息遭受未经授权的访问或可能导致个人信息遭受泄露、篡改、毁损、丢失等对个人信息造成危害的事件[11]。《个人信息保护法》要求个人信息处理者应制定并组织实施个人信息安全事件应急预案[12]。需要注意的是,个人信息属于数据中的一种类别,发生了个人信息安全事件也即意味着发生了数据安全事件。
不难发现,网络安全事件、数据安全事件的主要区别在于侧重点略有不同,网络安全事件主要指对网络和信息系统造成危害的事件,数据安全事件主要指对数据(包含个人信息)造成危害的事件。
(二) 应急预案的整体框架
参考《国家网络安全事件应急预案》、《公共互联网网络安全突发事件应急预案》、《信息安全技术-信息安全应急响应计划规范》(GB/T 24363-2009)[13]及《信息技术 安全技术 信息安全事件管理-第2部分:事件响应规划和准备指南》(GB/T 20985.2-2020)[14]等规定,应急预案一般主要由以下几个部分组成:
1. 总则:总则部分主要包括:(1)编制目的:介绍制定应急预案的原因和目标;(2)编制依据:明确编制应急预案依据的法律法规及国家标准;(3)适用范围:说明应急预案解决哪些问题,不解决哪些问题;(4)工作原则:包括应急预案的组织和实施原则等。
2. 角色及职责:需建立应急响应工作机构并明确其工作职责。建议明确人力资源部门、公关部门、法务部门、技术部门等企业支持部门的配合义务。企业可考虑聘请具有相应资质的外部专家协助应急响应工作,也可委托具有相应资质的外部机构承担实施小组以及日常运行小组的部分或全部工作。
3. 预防和预警机制:需明确数据安全事件监测及报告机制、预警机制及预防机制等,包括选择适当的技术手段和工作方式,明确监测人员的职能并落实到具体岗位等。
4. 应急响应流程:需明确事件通报、事件分级与定级、应急启动、应急处置、后期处置的相关机制。针对不同级别的数据安全事件对事件通报、应急启动、应急处置的相关流程进行区分处理。
5. 应急响应保障措施:需明确人力、物资、技术、经费等相关方面的保障措施,并明确责任与奖惩机制。此外,建议企业定期对应急预案涉及的职能、保障人员进行培训,指导其落实应急预案中的相关工作。
6. 相关附件:视情况可考虑准备具体的组织体系结构及人员职责,应急响应计划各小组成员的联络信息,系统恢复或处理的标准操作规程和检查列表,支持系统运行所需的硬件、软件和其他资源的设备与系统需求清单,报告/通知内容模板等附件。
(三) 对境外总部应急预案的借鉴
1. 覆盖范围
欧盟一般数据保护条例(General Data Protection Regulation,简称为“GDPR”)中类似的概念为“personal data breach”(个人数据泄露),指违反安全规定,导致所传送、存储或以其他方式处理的个人数据的意外或非法销毁、丢失、更改、未经授权的披露或访问[15],与中国法下个人信息安全事件的定义相近。需要注意的是,根据Guidelines 9/2022 on personal data breach notification under GDPR,GDPR中的个人数据泄露仅针对个人数据(即中国法下的个人信息)遭到危害的情形,若网络和信息系统或个人信息以外的其他数据遭到危害,不属于GDPR中个人数据泄露的范畴[16]。此外,根据Guidelines 01/2021 on examples regarding personal data breach notification,每一个数据控制者(即中国法下的个人信息处理者)及数据处理者(即中国法下的个人信息受托处理者)应具备处理可能出现的数据泄露的方案和流程[17]。
美国加州民法典(California Civil Code,简称为“加州民法典”)中类似的概念包括“breach of the security of the system”(系统安全违规),指未经授权而获取电子化数据,从而危及个人或企业所维护的个人信息的安全性、保密性和完整性,但不包括某些善意取得的情形[18],以及“breach of the security of the data”(数据安全违规),指(1)未加密的个人信息被或有合理理由相信已被未经授权的人获取;(2)经加密的个人信息被或被合理认为已被未经授权的人获取,加密密钥或安全证书被或被合理认为已被未经授权的人获取,拥有或许可该等经加密的信息的人或企业合理地相信,加密密钥或安全证书能使该等个人信息可读或可用[19],亦与中国法下个人信息安全事件的定义类似。
2. 报告/通知要求
欧盟在Guidelines 9/2022 on personal data breach notification under GDPR中明确规定,应急预案中应包括向主管部门报告及向个人数据主体通知的机制,颗粒度要达到需要向哪一个具体主管部门通知的程度[20]。相应的,跨国企业在准备中国本地化数据安全事件应急预案时,可考虑在应急预案的应急响应流程中明确触发报告/通知义务的标准、报告/通知的对象以及报告/通知的流程、内容等(我们会在本系列文章下篇中具体分析)。
表1:中国、欧盟、美国(加州)应急预案相关法律法规梳理
二、数据安全事件影响评估
(一)影响评估的必要性
除《信息安全技术-个人信息安全规范》(GB/T 35273-2020)要求个人信息控制者应在发生个人信息安全事件后评估事件可能造成的影响[21],其他中国数据保护相关法律法规并未直接要求企业在数据安全事件发生后进行影响评估,但均要求在数据安全事件发生后采取相应的补救措施,向有关部门报告并向有关个人通知[22];就个人信息安全事件而言,如果个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人[23]。
为了找到“对症下药”的补救措施,需要先找到数据安全事件的“症结”。数据安全事件影响评估有助于判断数据安全事件潜在影响的严重程度和发生的可能性,从而可以采取更具针对性的补救措施,并且可以帮助判断采取的补救措施是否可以有效避免个人信息安全事件造成的危害。此外,完成数据安全事件评估有助于识别受到个人信息安全事件影响的个人信息的种类、受个人信息安全事件影响的原因和个人信息安全事件可能对相关个人信息造成的危害,这些事项也是触发通知、报告等义务时所必需披露的内容之一[24]。
(二)影响评估的考虑事项
根据《信息技术 安全技术 信息安全事件管理-第2部分:事件响应规划和准备指南》(GB/T 20985.2-2020),数据安全事件影响评估需要考虑的因素包括是否属于数据安全事件,是否存在信息安全漏洞(包括对相关信息系统、服务和/或网络的脆弱性评估/安全性测试),数据安全事件对业务运营和管理、商业和经济利益、个人信息主体、商业信誉等造成的影响,是否违反相关法律法规规定的义务等[25]。
(三)对个人信息保护影响评估的参考
数据安全事件影响评估为发生数据安全事件以后的事后评估,个人信息处理者可能在数据安全事件发生前已就特定个人信息处理活动开展事前的个人信息保护影响评估。例如,根据《个人信息保护法》,跨国企业在向境外总部传输个人信息前应已完成个人信息保护影响评估[26],个人信息影响评估应包括:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。若跨国企业在向境外总部传输个人信息的过程中发生了个人信息泄露,则跨国企业可根据数据安全事件应急预案开展数据安全事件影响评估。数据安全事件影响评估可在一定程度参考个人信息保护影响评估的分析,但需要注意的是,个人信息保护影响评估是就可能发生的风险,分析可能造成的影响,而数据安全事件影响评估是针对具体的数据安全事件分析实际造成的影响,数据安全事件影响评估需要针对数据安全事件的实际情况具体分析。
(四)对境外总部评估机制的借鉴
欧盟在Guidelines 9/2022 on personal data breach notification under GDPR中明确指出,一旦意识到数据泄露事件,数据控制者不仅要设法控制数据泄露事件,而且要评估可能产生的风险,这一点至关重要。这有两个重要的原因:(1)了解对个人的影响的可能性和潜在的严重性将有助于数据控制者采取有效的措施来控制和解决违规事件;(2)这将有助于确定是否需要通知监管机构,并在必要时通知有关个人[27]。Guidelines 9/2022 on personal data breach notification under GDPR还明确了评估数据泄露事件对个人造成的风险时,应考虑数据泄露事件潜在影响的严重程度和发生的可能性,需要考虑的因素包括:数据泄露事件的类型、个人数据的性质、敏感性及数量、识别个人的难易、对个人造成后果的严重程度、受影响的个人的类别(如是否涉及未成年人)、受影响的数据控制者的类别、受影响的个人的数量等[28]。
GDPR中亦有在数据泄露事件发生后报告/通知要求,报告/通知的内容包括描述个人数据泄露的性质、个人数据泄露的可能后果、已经采用或计划采用的措施等[29],对数据泄露事件的评估可使数据控制者报告/通知的内容更准确、详实。
美国加州数据保护相关法律法规未直接要求企业在系统违规事件或数据违规事件发生后进行影响评估,但加州民法典要求在系统违规事件或数据违规事件发生后向受影响的加州居民及在特定情形下向加州总检察长进行报告/通知,报告/通知的内容包括泄露的个人信息类型、泄露事件的一般描述、已经采用或计划采用的措施等[30],为了准确描述泄露事件的情况及泄露的个人信息的类型,并确定合适的补救措施,有必要对系统违规事件或数据违规事件开展影响评估。
由上可见,境外相关立法对数据安全事件影响评估的理解和要求与中国相关法律法规较为类似。实践中跨国企业对于内部开展数据安全事件影响评估的流程和方法论可较大程度借鉴境外总部的已有版本。
表2:中国、欧盟、美国(加州)数据安全事件影响评估相关法律法规梳理
(五)与境外总部IT部门的联动
考虑到跨国企业可能与境外总部共用IT系统及IT部门,在开展数据安全事件影响评估时,跨国企业可考虑向境外总部的IT部门寻求支持,境外总部的IT部门可以协助确认数据安全事件的“症结”并判断数据安全事件发生的可能性以及潜在影响的严重程度。不过需要注意的是,为了避免触发数据出境安全评估或个人信息出境的相关义务,境外总部的IT部门在提供IT支持时,应尽量避免个人信息跨境传输。
三、结语
以上是我们对于跨国企业在制定中国本地化数据安全事件应急预案、数据安全事件影响评估机制的梳理与总结。在下篇文章中,我们将进一步分享关于跨国企业在发生数据安全事件时的通知与报告义务以及其他相应补救措施的实践。
感谢实习生黄清韵对本文作出的贡献。
扫码下载文章
数据泄露事件频发,如何保障大数据时代的信息安全https://news.bjd.com.cn/tech/2021/08/04/144221t133.html
盘点2022年数据泄露事件 https://new.qq.com/rain/a/20221121A04MLS00
2022年数据泄漏事件各国排行,我国排第几?https://www.163.com/dy/article/HR6PMBC00511BI8B.html
《网络安全法》第25条。
《国家网络安全事件应急预案》第1.3条。
《网络安全法》第25条。
《数据安全法》第29条。
《网络数据安全管理条例(征求意见稿)》第9条。
《数据安全法》第27条。
《工业和信息化领域数据安全管理办法(试行)》第13条。
《个人信息保护法》第51条、《儿童个人信息网络保护规定》第21条。
《个人信息保护法》第51条。
《信息安全技术-信息安全应急响应计划规范》(GB/T 24363-2009)第6条。
《信息技术 安全技术 信息安全事件管理-第2部分:事件响应规划和准备指南》(GB/T 20985.2-2020)第6.4条。
GDPR第4(12)条。
Guidelines 9/2022 on personal data breach notification under GDPR第15段。
Guidelines 01/2021 on examples regarding personal data breach notification第11段。
加州民法典第1798.82(g)条。
加州民法典第1798.82(a)条。
Guidelines 9/2022 on personal data breach notification under GDPR第6、37及69段
《信息安全技术-个人信息安全规范》(GB/T 35273-2020)第10.1条。
《网络安全法》第25条、《数据安全法》第29条、《个人信息保护法》第57条。
《个人信息保护法》第57条。
《个人信息保护法》第57条、《个人信息标准合同》第三条第(七)款。
《信息技术 安全技术 信息安全事件管理-第2部分:事件响应规划和准备指南》(GB/T 20985.2-2020)第6.4(c)条及第C.3.3条。
《个人信息保护法》第55条。
Guidelines 9/2022 on personal data breach notification under GDPR第101段。
Guidelines 9/2022 on personal data breach notification under GDPR第103-120段。
GDPR第第33(1)及(3)条、第34(1)及(2)条。
加州民法典第1798.82(a)及(d)条。
