从华住酒店事件看,企业如何应对数据泄露?
华住酒店集团数据泄露事件回顾
8月28日,大型连锁酒店华住集团被曝旗下包括汉庭酒店、桔子、全季、宜必思等知名连锁酒店的约5亿条用户数据在暗网出售。根据出售人在暗网发布的消息,此次泄露的数据包括1.23亿条华住官网注册资料、1.3亿条酒店入住时登记的身份信息、2.4亿条酒店开房记录,包含了姓名、手机号、邮箱、身份证、家庭住址、生日、登陆密码、内部ID号、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等个人私密信息。
华住集团当天下午发表声明称已在内部迅速开展核查、确保客人信息安全,并已经在第一时间报警,还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
9月17日华住集团再次发表调查声明称试图兜售数据的犯罪嫌疑人已被缉拿归案,关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露则须等案件侦办完成后才能正式发布。若数据泄露属实,此次数据泄露将成为《网络安全法》实施以来最严重的数据泄露事件,而华住集团对个人信息的保护是否完备,在出现数据泄露时的反应是否到位也将面临着《网络安全法》的检验。
上海警方在8月28日晚上的一份公开声明中表示,“将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。”那么,掌握公民个人信息的企事业单位,发生数据泄露事件时,将要承担哪些主体责任呢?
企业义务
尽管数据泄露事件一直层出不穷,但一直以来数据泄露源头的掌握公民个人信息的企业,是否承担责任,要承担什么样的责任一直没有引起足够的关注。2016年《网络安全法》在法律层面确定了网络运营者的“网络信息安全义务”,要求“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。”,同时,《网络安全法》及其它相关规定的出台实施,让我国企业在应对数据泄露时也变得有法可依。
《网络安全法》第二十五条:
“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
第四十二条第二款:
“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
以上法条意味着,如果网络运营者没有满足要求,使得个人信息依法得到保护权利受到侵害的,由有关主管部门责令改正警告、没收违法所得、罚款甚至关停业务的行政处罚,其中罚款为违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 同时,对直接负责的主管人员和其他直接责任人员可能被处一万元以上十万元以下罚款。
在《网络安全法》的框架下,更多具体规定,则体 现在陆续发布的其他文件中。
网络安全应急相关规定⑶依据《公共互联网网络安全突发事件应急预案》网络安全突发事件应急响应结束后,事发单位还应及时调查突发事件的起因、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后10个工作日内形成总结报告,报电信主管部门。电信主管部门汇总并研究后,在应急响应结束后20个工作日内形成报告,按程序上报。
个人信息安全规范全国信息安全标准化技术委员会组织制定《信息安全技术 个人信息安全规范》(以下简称为“《个人信息安全规范》”),其中第九章对个人信息安全事件处置作了详细规定,对企业合规和行政执法具有指导性和参考作用。
企业应做好预防措施,制定应急预案
⑴应制定网络安全事件应急预案。⑵应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。
应急处置
⑴记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个 人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门。
⑵评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。
向有关主管部门报告
⑴报告对象: 工信部和网络安全应急办公室和相关省(自治区、直辖市)通信管理局。认为可能发生特别重大或重大突发事件的,向部应急办报告;认为可能发生较大或一般突发事件的,向相关省(自治区、直辖市)通信管理局报告。⑵报告触发条件:在发生或者可能发生个人信息泄露情况时。⑶报告时限:在发生或者可能发生个人信息泄露情况时及时报告,若发生《公共互联网网络安全突发事件应急预案》里的网络安全突发事件,即10万以上互联网用户信息泄露则须立即报告。⑷报告方式:电话等方式报告内容包括但不限于:
✔涉及个人信息主体的类型、数量、内容、性质等总体情况,
✔事件可能造成的影响,
✔已采取或将要采取的处置措施,事件处置相关人员的联系方式。
告知用户
⑴告知方式:以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息。
⑵告知期限:在发生或者可能发生个人信息泄露情况时及时报告
⑶告知内容应包括但不限于:
✔安全事件的内容和影响;
✔已采取或将要采取的处置措施;
✔个人信息主体自主防范和降低风险的建议;
✔针对个人信息主体提供的补救措施;
✔个人信息保护负责人和个人信息保护工作机构的联系方式。
几乎在华住酒店数据泄露的同一时间,8月20日,世界上最大的移动电话公司之一,德国电信子公司T-Moblie安全团队发现黑客攻击部分数据遭到泄露,其 7700万客户中约3%的客户,即230万客户可能受到影响。
8月24日T-Moblie在其官网对用户就此次数据泄露作出解释声明。在声明里T-Moblie表示:安全团队在发现数据被窃取时立即采取了措施并报告给了相关部门。此次事件中用户的财务信息(包括信用卡信息)、社保账号以及密码没有受到波及,可能泄露的数据包括姓名、账单编码、电话号码、邮件地址、账号、账户类型和(或)生日。所有受到影响的用户已经收到或将收到通知。如果用户(不管有没有受到影响)对此次事件或者对自己的账号有疑问,T-Moblie还告知了具体的咨询联系方式。
T-Moblie短信通知用户其发现并阻止了一次非法窃取信息行为。用户的一些个人信息可能被窃取,但财务信息和社保账号没有被泄露。
(图片来源于Motherboard:https://motherboard.vice.com/en_us/article/a3qpk5/t-mobile-hack-data-breach-api-customer-data)
T-Moblie在此次数据泄露事件中的处理手段相比之前众多数据泄露事件值得让人称赞,也值得其它企业在发生个人数据泄露时进行借鉴学习。当然,T-Moblie的迅速反应和透明处理也与欧盟《一般数据保护条例》(以下简称为GDPR)的正式生效有关。GDPR规定在发生数据泄露时,数据控制者应当在得知数据泄露后毫不迟延并且尽可能在72小时内向数据监管部门报告。如果数据泄露可能对自然人的权利和自由产生较高风险时,数据控制者应当毫不迟延地通知用户。GDPR详细地规定了数据泄漏时通知义务的主体、对象、报告和通知的形式、时限和内容,以及豁免通知义务的情形。如果数据控制者没有履行通知义务,数据控制者将被处以最高至1000万欧元的罚金或者相当于企业上财年全球年度总营业额2%的罚金,两者中取其数额较高者。
从欧盟的规定与实践可以看出,上述中国《个人信息安全规范》中对个人信息安全事件处置,充分借鉴了欧盟GDPR的规定,如能遵照执行,对于处于舆论讨伐漩涡里的企业,是很好的自证合规和免除行政处罚的风险防范措施。当然,无论是GDPR,还是中国的相关规定,如何落实履行每一个具体要求,都还有待实践检验。比如在中国的个人信息保护框架下,数据控制者需要报告个人信息泄露的主管机关,是公安部门、网信部门还是二者兼备?对用户告知义务在一旦发生数据泄露就必须启动,还是像GDPR一样,当数据泄露不太可能对受影响数据主体的权利和自由构成重大危险时予以豁免?我们期待着《网络安全法》第十二条的“按照相关规定”进一步出台和明确,也期待着实践中每一次个人信息泄露事件发生时,主管机关对发生泄露的企业有更多的要求和检查监督结果发布。
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
关于享法
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
请关注我们的微博:享法互联网法律
往期好文回顾
水滴轻松无意联姻,一文助你辨别爱心互助的真与伪| 互联网法律观察
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~