不识庐山真面目,只缘身在此山中——数据泄露是一个难题还是错题?
如您希望下载PDF版本,请点击文末“阅读原文”获取。
引言
数据泄露一直都是数据治理领域的长盛不衰的新闻话题。它是悬于企业头顶的达克摩斯之剑,但又从未真正落下。我国早在2012年,就对数据泄露问题作出了法律规定(详见后文)。《网络安全法》《数据安全法》《个人信息保护法》等重要法律中均涉及数据泄露问题。然而,数据泄露从未停止,反而总能成为头条新闻,在各类统计盘点中不断翻新记录,加剧数据焦虑却又仿佛无计可施。本文在长期跟踪、观察数据领域法律规定和数据合规实践的基础上,对数据泄露问题进行研究探讨,以期为解决数据泄露问题贡献一些思路和想法。
01
数据泄露现状
虽然世界各国均在不断推进数据立法和数据保护监管行动,但是过去十几年来,全球范围内数据泄露呈现持续上升的趋势。2023年,IBM Security发布的《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本上升至445万美元,达到历史新高,比2022年的435万美元增加了2.3%,比2020年的386万美元增加了15.3%。其中,医疗领域数据泄露成本最高,达到1093万美元,其后是金融、能源、工业、科技、服务、运输、教育等行业,其中金融机构的数据泄露平均成本为590万美元,能源行业的平均成本为478万美元,教育行业的平均成本为365万美元。根据威胁猎人(深圳永安在线科技有限公司旗下品牌)发布的《2023年数据泄露风险年度报告》显示,2023年全网监测并分析验证有效的数据泄露事件超过19500起,涉及金融、物流、航旅、电商、汽车等20多个行业。其中,金融行业是2023年公民个人信息泄露事件数量最多的行业,航旅行业出现大幅增长,首次进入排名前三。
值得反思的是,随着数字社会不断形成和成熟,人们数据保护意识持续提升,企业也在不断加大数据保护投入,但是数据泄露的情况并未好转,反而似乎在更为恶化。早在三年前的中国互联网大会(第二十届)数据安全论坛上,中国信息通信研究院就表示,2020年全球数据泄露的数量就已经超过过去15年的总和。彼时,数据泄露就成为亟需解决的数据安全问题。可是到了今天,数据泄露仍处于上升趋势,并未因为问题之迫切而得以妥善解决。根据Verizon《2023年数据泄露调查报告》显示,在调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51% 的网络攻击涉及到有组织有计划的犯罪集团。可以说,应对数据泄露在“人的因素”方面还有很多工作要做。但是,如何更为准确地认识数据泄露并采取合理的行动,可能更为重要。
02
何为数据泄露?
数据泄露看似是一个难题,但实际上答案要从谜面中寻找。从字面理解,数据泄露可以理解为数据的丢失。但是必须注意到,基于数据的可复制性、非排他性等特点,数据泄露并不必然发生传统意义上的丢失。只要数据被未经授权地访问、查看、使用、复制或者删除等,甚至仅仅因为存在漏洞而有被未经授权地访问、查看、使用、复制或者删除的可能,都属于数据泄露的范畴。
国内相关数据立法中均对数据泄露作出了相关规定,虽然内涵基本一致,但在表述上有所不同(详见下表)。实际上,数据立法中的“数据泄露”的内涵要超出其字面含义。英文中对应数据泄露的法律用语是data breach,此处breach有两种理解,一是出现了缺口,另一是对规定的违反。按照后一理解,违反的对象应为数据的三性,即机密性、完整性和可用性(confidentiality,integrity,availability,CIA)。因此所谓的数据泄露,应指数据被未经授权地访问、查看、使用、复制或者删除,以及存在前述情况的可能,导致数据的保密性、完整性、可用性受到减损。EDPB在其《关于数据泄露通知案例的指南》(Guidelines 01/2021 on Examples regarding Data Breach Notification)中及其他相关指南中均指出,数据泄露(data breach)主要有三种典型形式:(1)破坏机密性,导致个人信息被未经授权或者意外地访问或者公开;(2)破坏完整性,导致个人信息被未经授权或者意外的篡改;(3)破坏可用性,导致个人信息因意外或者未经授权地毁损或者丧失访问权。
表:国内相关立法有关数据泄露的条款
国外立法中选择breach而非loss,leak或者其他单词,是因为breach相对具有更丰富的内涵。如,美国加利福尼亚州《数据泄露通知法》将breach规定为对系统安全性(security of the system)的破坏。美国华盛顿州《数据泄露通知法》是美国最新的州层面立法,也保持了一致的规定,同样是对系统安全性(security of the system)的破坏(breach)。欧盟《隐私和电子通信指令》中将“个人信息泄露”(personal data breach)界定为对安全性的破坏所导致的意外或者非法毁坏、损失、篡改,未经授权地公开或者访问。欧盟《个人数据泄露通知条例》中也引用了《隐私和电子通信指令》的定义。《通用数据保护条例》(General Data Protection Regulation,GDPR)与《隐私和电子通信指令》一致,规定“个人数据泄露”是指对安全性的破坏,导致意外或非法毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为。
更深一层来看,结合国内外规定综合理解,data breach所指向的法律制度具有一致性。它不仅是一种对数据本身的破坏,而且是一种对安全义务的破坏,结果上表现为数据安全状态的丧失。这种破坏包括毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为等等,从而产生了breach的实际后果。所以说,数据泄露与数据安全保障义务密切相关,数据泄露在法律意义上指的是破坏了数据安全状态,而这种破坏可能是因为违反了数据安全保障义务所导致的。需要注意的是,两者之间又不必然具有因果关系。有些企业在采取了适当的安全保障措施后,仍然不幸地发生了数据泄露事件。因此,世界各国在数据立法中广泛地建立了数据泄露通知制度,以此作为应对数据泄露的有效法律手段。
03
何为数据泄露通知制度
数据泄露通知制度是指当企业发生数据泄露事件时,按照相关法律法规和内部政策要求,及时向受影响的用户、监管机构等相关方发出通知和报告的制度。其主要目的是保护用户的隐私权和数据安全,确保受影响的用户能够及时了解泄露事件的情况,采取必要的措施来减少损失和风险。同时,通过向监管机构报告,有助于监督机构及时了解数据泄露事件的情况,加强监管和追责。
一般而言,数据泄露通知制度通常包括以下内容:
(1)
通知对象:包括受影响的用户、监管机构等相关方。
(2)
通知内容:包括泄露事件的基本情况、影响范围、应对措施、联系方式等。
(3)
通知方式:可以通过电子邮件、短信、电话、信函等方式进行通知。
(4)
通知时间:在发现数据泄露事件后,应在合理的时间内向相关方发出通知。
(5)
报告要求:向监管机构报告的要求,包括报告的时间、内容、方式等。
如根据《个人信息保护法》第五十七条第一款的规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(3)个人信息处理者的联系方式。
不过,企业势必会担心通知后产生的不利后果,导致承担严格的法律责任。这是制约数据泄露通知制度落地的重要情绪因素,也反向造成数据泄露持续成为新闻而又不断升级加剧。事实上,数据泄露通知的制度设计已经充分考量了这一问题,需要在实践中准确把握应用。按照规范的数据泄露通知制度要求,企业履行通知义务后,反而不应承担法律责任(需要符合具体场景,详见后文分析),并能够更有效地降低企业和用户损失。
04
数据泄露应当承担什么法律责任?
数据泄露属于网络安全事件的一种。国家网信办《网络安全事件报告管理办法(征求意见稿)》中将重要数据泄露、个人信息泄露等列入。欧盟也认为个人数据泄露属于数据安全事件。发生或者可能发生数据泄露时,就会直接触发企业的通知义务。前述列表中的相关法律规定均规定了数据泄露通知制度(《数据安全法》除外),即要求数据处理者在发生或者可能发生数据泄漏时,向主管部门或者用户报告。
数据泄露导致数据丧失安全状态的结果,应该是数据处理者并不期望发生的,或者其发生已经超出了数据处理者的控制能力范围。EDPB《关于个人数据泄露通知制度的指南2.0版》(Guidelines 9/2022 on personal data breach notification under GDPR,Version 2.0)中指出,数据泄露的结果是数据控制者(data controller)不能确保根据GDPR第5条的要求处理个人数据。恰恰是因为数据泄露难以绝对避免,而其又具有相当的数据安全风险,所以才对企业规定了通知的义务。数据泄露通知制度的通知,不具有自首的性质,也不是要求企业“自证其罪”。它的核心要义是,要求企业采取通知的行动,获取主管机关的指导或者资源支持,避免用户以及企业自身的进一步损失。
总结来说,数据治理各方都不应将“数据泄露”本身视为违法行为,否则数据泄露通知制度就失去了意义,也不具备落地的可能。数据泄露通知制度实际上是一种单独义务,它独立于数据安全保障义务。这一点比较难以理解,在国内也缺乏具体的行业实践,但这是准确认识数据泄露通知制度的关键,也是让数据泄露通知制度真正有效的逻辑起点。
具体理解数据泄露通知制度的独立性,需要考虑实践中可能出现四种情形(见下图):(1)履行了数据泄露通知义务,也履行了数据安全保障义务——不承担任何法律责任;(2)履行了数据泄露通知义务,而数据安全保障义务未履行——不产生泄露不通知的法律责任,但要承担未履行数据安全保障义务的法律责任;(3)未履行数据泄露通知义务,而履行了数据安全保障义务——不承担数据安全保障义务的法律责任,但要承担不通知的法律责任;(4)未履行数据泄露通知义务,也未履行数据安全保障义务——既要承担不通知的法律责任,也要承担未履行数据安全保障义务的法律责任。
数据泄露通知示意图
(实线箭头为通知流程,虚线为安全保障义务流程)
之所以数据泄露通知制度具有独立性,是因为数据泄露本身的风险性,需要在短时间内调动足够的资源应对安全隐患,避免发生更恶性的后果。数据泄露通知本质上就是信息共享机制,而信息的来源就是企业。数据泄露通知制度应该设置单独的法律责任(很多数据泄露通知制度都有单独法律责任),以防止企业担心通知后产生对己不利的后果,而不采取通知的行动。事实上,全面推进落实数据泄露通知制度后,数据泄露的不利影响反而会大幅下降,变成常态化的社会风险事件,由政府、企业、用户以及专业第三方机构共同应对。而不应陷于企业被动曝光后(或者未被曝光但仍需自行应对)独自承担风险后果的非良性循环局面。
05
对企业的合规启发
数据泄露仍处于高发态势,但是在数字社会的发展和成熟过程中,数据泄露不是必然可以被根除的现象。数据泄露的发生与否,取决于企业数据安全保障水平的高低,也表现为攻防双方的零和博弈。绝对地在法律层面、监管层面和舆论层面对数据泄露采取绝对禁止性的态度,未必能够发挥应有的效果。我国通过十余年的立法进程,不断重申、持续完善数据泄露通知制度,这反而更应该是治理数据泄露难题的应有之道。值得注意的是,2023年12月,国家网信办向社会公开征求对《网络安全事件报告管理办法(征求意见稿)》的意见,表明主管层面已经在着手推动数据泄露通知相关制度走向实处。相关企业也应注意政策走向,特别是要关注数据泄露通知制度,根据自身情况及时作出调整,开展积极的准备工作。
建议企业提升数据安全保护意识,确保数据安全保障义务落实到位。数据安全保障义务需要持续投入和动态合规,且在数据泄露通知制度中具有终局性的效果——如果违反了数据安全保障义务,则难以免除法律责任。因此,需要按照《数据安全法》《个人信息保护法》等规定做好企业数据合规工作,特别是要结合企业自身规模、性质等,落实有关风险评估、影响评估、应急演练等法律规定,在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持,确保不违反硬性的数据安全保障义务。
建议企业对标相关法律法规中的数据泄露通知要求,以及《网络安全事件报告管理办法(征求意见稿)》,构建企业内部数据泄露等防控机制、监测机制以及报告机制。特别是要及时跟踪有关数据泄露通知的政策指引、标准指南等制定发布工作,调整好合规心态及合规思路,必要时借助专业第三方机构的支持,积极通过数据泄露通知制度获取行政支持,减少企业和用户损失,避免承担相应的法律责任。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
人工智能:
路未央,花已遍芳——欧盟《人工智能法案》主要监管及激励措施评述 2023-08
全球人工智能治理大变局之欧盟人工智能治理监管框架评述及启示 2023-07
“卧看星河尽意明”——全球首部生成式人工智能法规解读 2023-07
“不要温和地走进那良夜”——对《生成式人工智能服务管理办法》的思考 2023-04
算法治理之互联网信息服务推荐算法管理 2022-01
“假作真时真亦假”——数字社会中辨伪存真的挑战 2022-02
积跬步,至千里——算法治理之互联网信息服务算法推荐管理 2021-08
算法治理系列之——智能时代的算法治理 2021-06
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
前程有日月,勋绩在河源——数据资源调查通知解读 2024-02
起于三寸之坎,以就万仞之深——2023年网络安全与数据合规回顾与展望 2024-02
小河南流香江畔,为有源头活水来 ——《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》解读和促进意义 2023-12
“拨开云雾见月明”——《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》解读 2023-12
幼吾幼以及人之幼——《未成年人网络保护条例》的解读 2023-10
《网络数据安全管理条例(征求意见稿)》系列解读之个人信息保护篇 2021-12
知我者,当谓我心忧:个人信息自动化决策的法律规制与合规要求 2021-09
斯人已逝,生者如斯—浅析死者个人信息权利 2021-09
新起点、新征程:《数据安全法》时代下的数据安全与发展 2021-09
数中有术、术中有数——数据权益理论与司法实践探析(下篇)2021-08
数中有术、术中有数——数据权益理论与司法实践探析(上篇)2021-07
利刃出鞘:《数据安全法》下中国数据保护路径解读 2021-06
个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5
数字征信时代的重要信号——征信业务新规草案解读 2021-1
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
Personal Information Protection Law (Draft): A New Data Regime 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
Innovations & New Developments of Cybersecurity Review Measures 2020-05
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05