当期荐读 2021年第3期 | 澳大利亚数据泄露通知制度及其启示
图源 | The Internet
刘妍 肖冬梅
(湘潭大学知识产权学院, 湘潭, 411105)
摘 要
与大数据的广泛运用如影相随的是数据泄露事件频现,而数据泄露通知制度的重要价值在于其能有效止损,故近年来该制度备受各主要国家的关注。采用文献调研法、文本分析法考察澳大利亚数据泄露通知制度发现,澳大利亚的数据泄露通知制度综合考虑了通知义务人、通知对象、通知时间、触发条件、通知内容、通知方式及通知例外等因素,其信息专员办公室另制定配套指南,使其数据泄露通知制度得以有效实施。我国可汲取澳大利亚的立法经验,在《数据安全法》中明确数据泄露通知制度,合理界定数据泄露通知范围,规范泄露通知的触发流程。
[关键词]
数据泄露 数据泄露通知义务 澳大利亚 数据安全法
随着云计算、大数据与物联网等新一代信息技术的迅猛发展与深入渗透,我国正快步进入大数据时代。党的十八大以来,以习近平同志为核心的党中央高度重视“构建以数据为关键要素的数字经济”,强调要“推动实体经济和数字经济融合发展”。2015年10月召开的十八届五中全会提出“实施国家大数据战略,推进数据资源开放共享”,尤其是2020年以来,国家加速培育数据要素市场并密集出台多项政策和法律,核心都着眼于数据更加高效和安全的流通与开放。2020年4月,中共中央、国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》,首次将数据纳入生产要素范围,与土地、劳动力、资本、技术等传统生产要素并列。数据成为推动经济高质量发展的新动能,尤其是在助力产业转型升级、提升社会治理体系与治理能力现代化方面成效显著。譬如,自2020年初新冠疫情爆发至今,我国利用大数据在疫情监测分析、病毒溯源、防控救治、资源调配等方面发挥了很好的支撑作用,成为数字化治理的一次生动实践。后疫情时代,“数字化”不仅成为经济社会发展的“必选项”,也是“最优解”[1]。
但与数据的广泛利用如影相随的是数据泄露事件频现。《Verizon 2020年数据泄露调查报告》披露了黑客攻击、社交网络攻击、物理攻击、特权账户滥用等行为的攻击和误操作等原因导致的3950起数据泄露事件(该报告2019年版披露的数据泄露事件为2013起)[2]。而根据欧盟官网数据,从2018年5月25日《通用数据保护条例》(General Data Protection Regulation,GDPR)正式实施到2020年1月27日,各企业向EEA内的数据保护监管机构通报的个人数据泄露事件共计160921起[3]。基于数据泄露所并发的数据乱象轻则影响生活安宁、使财产受损,重则威胁人身安全乃至国家安全[4]。可以说,数据泄露问题已成为当今社会安全发展的一大难点和痛点。数据泄露蕴含着潜在的安全威胁乃至巨大损失,而数据泄露通知制度能在一定程度上降低数据泄露带来的损害。
近年来各主要国家逐渐建立起数据泄露通知制度,其主要目的是确保权利人在数据发生或可能发生导致严重损害的泄露事件时得到及时的通知,使有关人士能够采取措施降低数据泄露带来的损害。通过对数据泄露通知制度溯源可知,该制度由美国首创,后由欧盟与澳大利亚引入并进一步发展。我国在《网络安全法》中已明确规定网络运营者的数据泄露通知义务,但是对数据泄露通知的义务人、对象、时间、触发条件、内容等具体的要件规定尚不够清晰,有待在《数据安全法》中加以明确。2018年2月22日,澳大利亚在其生效的隐私法案第IIIC部分单独增加数据泄露通知篇章,其信息专员办公室还针对数据泄露通知制度制定了配套指南。经过近两年的发展,澳大利亚数据泄露通知制度已相对成熟,其数据泄露义务内涵的界定以及数据泄露通知步骤的规定,对我国数据泄露通知制度的构建有一定的借鉴和参考价值。
1.数据泄露通知制度溯源
1.1 数据泄露通知制度的产生与发展
数据泄露通知制度起源于美国,在一定程度上可以认为是美国隐私权立法的产物。美国首部数据泄露通知法案即《加州数据安全泄露通知法案》(California Data Security Breach Notification Law)于2003年正式生效,该法要求所有加州的企业将现有或潜在的数据泄露通知到加州居民,包括未经授权获取未加密和计算机化的个人信息。截至2018年3月,美国所有50个州以及关岛、波多黎各、美属维尔京群岛和华盛顿哥伦比亚特区都已经制定了数据泄露通知法和其他相关法规[5],范围从单独的数据泄露通知法规到结合数据泄露、数据保护和保留、处置要求的法规[6]。在2011年之前,加州该制度主要适用于线下消费者的数据保护领域[7],随着互联网、大数据、云计算等信息科学技术的飞速发展,社会对数据安全的担忧加剧。尤其是经历了2011年4月索尼“被黑”、6月花旗集团36万客户信用卡信息被盗、11月黑客组织Anonymous大肆攻击全球商业和政府机构等数据安全大事件之后,数据泄露通知制度被引入线上数据保护领域,再一次受到各方关注。2018年万豪旗下喜达屋酒店大规模数据泄露事件,使加州对数据泄露通知法又进行了反思。虽然喜达屋及时披露了数据泄露事件,但基于加州2003年的法案,喜达屋酒店只需报告社会安全号码、驾驶执照号码、银行信息、密码、医疗和健康保险信息以及通过自动车牌识别系统收集的数据,而并没有法律义务披露护照号码或生物识别数据被盗,这一漏洞影响了多达五亿多位客人。由此,2019年2月,加州司法部长Xavier Becerra和民主党国会议员Marc Levine宣布了一项有关数据泄露通知的新法案,将护照号码和生物识别信息(如指纹和虹膜扫描)添加到公认的个人信息列表中,以求扩大企业数据泄露通知的范围,填补现有数据泄露通知法的漏洞。此外,美国还有针对特定行业(如银行、信用社、保险和医疗保健)的某些州和联邦一级的数据泄露通知要求[8],典型的法案如《金融服务现代化法》(Gramm-Leach-Bliley Act,GLB)、《健康保险流通与责任法》(Health Insurance Portability and Accountability Act,HIPAA)、《儿童在线隐私保护法案》(Children’s Online Privacy Protection Act,COPPA),都明确了数据泄露通知规则。
受到美国立法的影响,欧盟和澳大利亚等国家或地区也逐渐建立起数据泄露通知制度。在整个欧盟范围内,数据泄露通知要求最先开始于电信部门领域,有关立法可追溯到2002年的电子隐私指令(ePrivacy Directive)。随后,2011年修订的《电子通信行业隐私保护指令》(即2009/136/EC指令也即09指令),对欧盟层面公共电子通信服务提供者赋予了数据泄露通知的义务,规定运营商应当在发生数据安全事件时,及时向数据保护机构以及用户进行报告。2013年6月,欧盟内部就信息(数据)泄露通知采取了重大立法举措,通过了第611/2013号条例——《个人信息泄露通知条例》,对公共电子通信服务提供商(包括电话公司和互联网服务提供商等传统电信提供商)的数据泄露通知要求进行了补充和协调。2013年2月,欧盟委员会提出了一项关于网络和信息安全(NIS)的指令,以金融、卫生和运输服务提供商等“市场运营商”的名义,对许多实体组织提出了数据泄露通知要求。此外,欧盟于2012年发布的关于《数据保护条例》(Data Protection Regulation)的提案,对处理个人数据的主体提出了强制性的数据泄露通知要求。2014年出台的《电子身份识别与信托服务条例》也对信托服务提供商(包括电信服务提供商、银行等金融机构甚至大学)提出了数据泄露通知要求。2016年,欧盟通过GDPR,进一步完善了数据泄露通知制度,并扩大了适用范围。
澳大利亚早在《1988年隐私法》中就对个人信息的收集使用、披露以及信用报告等内容进行了规定。在2012年《我的健康记录法》(My Health Records Act 2012)、2016年《国家癌症筛查登记法案》(即《NCSR法案》)中明确规定了强制性的数据泄露通知义务。根据《我的健康记录法》,义务主体①在医疗数据未经授权被收集、使用或披露后应通知系统操作员或信息专员。根据《NCSR法案》,国家癌症筛查登记簿现在和此前的承包服务提供者如果发现未经授权记录、使用或披露了其中包含的个人信息,则必须通知卫生部部长和专员。2014年3月生效的《隐私修正法案》(Privacy Amendment Bill)又在联邦层面引入了强制性的数据泄露通知,该法案要求各实体组织将数据泄露事件通知到“受影响的个人和隐私专员”,以避免“对个人造成严重损害”。如果不遵守这些规定,相关实体组织将面临170万澳元的罚款,个人将面临34万澳元的罚款。2018年2月22日,澳大利亚《隐私权修正(数据泄露通知)法案》(Privacy Amendment(Notifiable Data Breaches)Act 2017)(以下简称《隐私法》)生效,该法案是对《1988年隐私法》的修订,这也是澳大利亚数据安全立法的一大里程碑。《隐私法》在第IIIC部分规定了数据泄露通知计划(NBD计划),旨在通过规范数据泄漏通知的流程和要求,提高数据泄漏事件的透明度,使个人有机会采取措施保护其个人信息,并最大限度地降低遭受伤害的风险。2019年7月,澳大利亚信息专员办公室(Office of the Australian Information Commission,OAIC)更新了其在2018年2月发布的《数据泄露的准备和响应》(《Data Breach Preparation and Response》)[9],即管理数据泄露的指南。该指南概述了《1988年隐私法》中有关数据泄露的要求,旨在帮助负有数据泄露通知义务的主体制定和实施有效的数据泄漏应对措施。虽然该指南主要适用于根据《隐私法》承担义务的澳大利亚政府机构和私营部门组织,但所提供的信息对在澳大利亚运营的任何组织都极具参考价值。从整体上看,该指南为澳大利亚数据泄露通知制度的适用提供了详细参考,对澳大利亚数据泄露通知制度的有效实施大有裨益。
2.澳大利亚数据泄露通知制度的具体规则
在澳大利亚《隐私法》中,数据泄露是指未经授权访问、披露或丢失实体所持有的个人信息的行为。
“实体”是指依照澳大利亚隐私原则(Australian Privacy Principles,APPs)负有个人信息保护义务的主体,包括澳大利亚政府机构、私营卫生服务提供商、信用报告机构、信用提供商和从事个人信息和税务档案号(TFN)交易的企业和组织、年营业额超过300万澳元的企业或非盈利组织。
“个人信息”是指可识别个人的信息或评价,无论该信息或评价是真或假,也无论该信息是否被有形载体所记录[10]。其中的“可识别”一般要综合考虑信息的性质和数量、有权访问该信息的主体等因素。澳大利亚个人信息涵盖的范围很宽,具有足够的灵活度来涵盖信息处理实践随时间变化的可能性。根据澳大利亚《隐私法》,能被明确认定为个人信息的有:①一般信息(如姓名、家庭住址、电子邮件地址、电话号码、出生日期等);②敏感信息(如有关个人的种族、民族、政治观点、宗教信仰、性取向或犯罪记录等);③健康信息;④信用信息;⑤员工记录信息;⑥税务档案号(TFN)信息等。以上有些类别的信息虽然没有被《隐私法》明确为个人信息,但其他立法中有相应规定,如根据《1979年电信(拦截和访问)法》(Telecommunications(Interceptions and Access) Act 1979),电信通讯数据可被视为个人信息。同时,某些信息在单独考虑时可能不构成个人信息,但与其他信息相结合时,也许会成为个人信息。换言之,有关信息是否能够被认定为个人信息需要根据具体情况来确定。鉴于此,澳大利亚信息专员办公室(OAIC)鼓励实体在碰到不确定的情形时,依照澳大利亚隐私原则(APP)谨慎确定。
根据澳大利亚《隐私法》,当数据泄露事件符合一定的构成要件时,将受到数据泄露通知制度的规制。具体而言,在未经授权时访问、披露或丢失实体所持有的个人信息(即发生数据泄露)且可能对该信息有关的任何个人造成严重损害时,实体需要履行数据泄露通知义务。而这一情形,《隐私法》将其称为符合条件的数据泄露。因而可以认为,发生数据泄露且造成严重损害是澳大利亚判断适用数据泄露通知的阈值。
2.2.1 数据泄露通知的义务人
澳大利亚《隐私法》所指代的泄露通知义务人范围即上文所述实体范围,当实体触发数据泄露通知义务时就成为泄露通知的义务人。除此之外,《隐私法》还以但书的形式规定了不必履行通知义务的实体,“但小型企业经营者,注册政党②,州、地区当局或国家指定的机构除外”。在澳大利亚,小型企业经营者是指自2001年以来任何财政年度的年营业额均未超过300万澳元的个人(包括独资经营者)、法人团体、合伙企业、非法人团体或信托机构[11]。
2.2.2 数据泄露通知的对象
明确通知对象,首先有利于找到明确的指向,从而保障个人的知情权。其次利于主管部门判断数据泄露事件的严重性,决定是否采取措施、是否在必要时向通知义务人给予帮助。
在所有已制定数据泄露通知制度的国家/地区中,都默认泄露通知对象为受影响的个人以及主管部门。在澳大利亚该主管部门是其信息专员办公室(OAIC)。OAIC由澳大利亚信息专员领导,根据《AIC法案》《FOI法案》《隐私法案》和其他法律行使权力。
2.3.1 数据泄露通知的时间
不论是个人财产信息还是个人身份信息,一旦遭遇泄露都将造成个人信息扩散范围和用途的不可控,且时间越久不可控性越大。因此,在规则的设立中,如果规定过长的泄露通知响应时间,将不利于遏制数据泄露所带来的负面影响,如龙卷风不会在村民建立安全港之后再侵袭;而反射弧原理决定了将信息传到神经中枢,再由传出神经将反应的信息返回到外周效应器,必有一定的滞后,如果过分追求缩短时间以寻得快速响应,对泄露通知义务人而言将是很大的挑战。如何确定数据泄露通知的法定时间存在一个不小的经济衡量。
澳大利亚《隐私法》规定,泄露通知义务人一旦意识到或有理由相信发生了“符合条件的”数据泄露威胁,则必须进行通知。这样的规定既为义务人评估是否发生了确切的符合条件的数据泄露事件以及判断损害大小留足了必要的估算时间,也为主管部门采取有效措施留足了必要的准备时间[12]。“一旦意识到发生了……”与“有理由相信发生了……”可以依照《隐私法》对泄露通知触发条件的规制作出判断。
2.3.2 数据泄露通知的触发条件
澳大利亚对义务人何时履行通知义务给予了非常合理清晰的规定,当数据泄露达到严重损害程度时,义务人才有必要履行泄露通知义务。而当义务人无法立刻判断数据泄露是否发生或泄露是否达到严重损害程度时,法律给予了义务人30天的评估反应时间。这样的规则设计不仅有助于法律的有效实施,还为义务人节省了资源和成本,免去了很多无效的通知。对于通知对象来说,也缩减了信息阅读成本,节约了时间。
具体而言,《隐私法》规定,当达到以下条件时,义务人必须履行泄露通知义务:①未经授权访问、披露或丢失个人信息(即发生了数据泄露);②未经授权的访问、披露或丢失有可能对与该信息有关的任何个人造成严重损害;③义务人未能通过补救措施消除可能造成严重损害的风险。由此可见,并非所有的数据泄露都必须在规定时间内进行报告通知,如果义务人迅速采取行动,使得数据泄露不会造成严重损害,则不需要通知任何个人或专员。触发条件应当是使数据泄露达到“严重损害”的程度,因此,理解何为严重损害是把握该条规定的核心。严重损害的形式应不仅包括经济的损失或对被害人基本权利的严重侵害,还应包括身体的或精神的伤害、情感的痛苦[13],《隐私法》没有采取明确定义的方式界定严重损害,而是采取非完全列举的方式进行说明,载于第IIIC部分判断严重损害的“相关事宜”中。基于此,应纳入考虑的因素有信息的种类或数量、信息的敏感性、信息是否设有安全措施、该安全措施被破解的可能性大小、获得或能够获得该信息的人员/人员类型、数据泄露的性质等。通过以上考量,义务人可判断是否触发了数据泄露通知的条件,进而及时履行义务,减轻损害。
2.3.3 数据泄露通知报告的内容
一旦触发数据泄露通知的条件,义务人需为主管部门即澳大利亚信息专员办公室(OAIC)准备一份声明,且要将声明的内容通知到个人。该声明需要包含四项内容:①义务人的名称与联系方式;②有关数据泄露情况的整体描述;③泄露的数据类型和数量规模;④对个人应对数据泄露可以采取的措施的合理建议。就第①项内容而言,如果义务人的企业名称与业务名称不一致,义务人应填写该企业为大众所知悉的名称;就第②项内容而言,OAIC建议企业应尽可能地描述数据泄露的发生时间、发现泄露的时间与泄露原因等内容;就第③项内容而言,义务人可以告知个人及专员泄露的信息是属于一般信息、敏感信息还是信用信息等,同时告知遭到泄露的数据规模;就第④项所述的合理建议,义务人应当根据数据泄露的实际情况提出,并无统一标准。如果是社交账号被盗,义务人可以建议个人更改密码;如果是银行卡信息泄露,义务人可以建议个人即刻冻结账户。
此外,OAIC官网提供了一份数据泄露通知声明表格,将《隐私法》所列举的需要通知的内容以填空的方式呈现,为义务人报告数据泄露情况提供了操作性强的指导。据OAIC的数据泄露通知每月数量统计显示[14](图1),2020年5月单月OAIC就接到124份通知报告,自2018年7月至2020年6月OAIC共接到1050份通知报告。因此,对于数量相对庞大的泄露通知报告而言,统一的表单形式也有利于信息专员的管理和后续针对数据泄露的分析、总结。
图1 数据泄露通知每月报告数量(2018年7月—2020年6月)
2.3.4 数据泄露通知的方式
由于个人与主管部门联系方式的稳定性存在差别,因此,义务人向两者进行通知的方式并非完全一致。义务人向专员进行通知时,应填写OAIC官网提供的表格,而当通知对象是个人时,义务人可以采取任何方式,例如电话、SMS、邮件、社交网页联系或当面联系等,只要方式合理即可。这样的规定给予了义务人很大的权衡空间,义务人可以选择最有效、最经济的方式将数据泄露情况通知到个人。此外,当穷尽以上方式尚联系不到受影响的个人时,义务人应当采取合理的步骤在其官网及社交媒体上,以公告的形式公开泄露通知声明的内容,这要求声明应当放在醒目位置,以便权利人能够轻松发现。
基于国家利益、社会公共利益以及法律调整对象的客观需要,澳大利亚《隐私法》规定了四项免除义务人通知义务的例外,分别是:①当数据泄露涉及多个义务人,已有一个义务人履行通知义务;②涉及与执法相关的活动;③不符合保密规定;④信息专员作出了声明。社会现实纷繁复杂,往往无法立一规则而穷揽所有情形。这些例外规定,涉及用户、企业与政府,体现出澳大利亚的数据泄露通知制度综合考虑了多方情况,从实际出发而并非一味僵化,显现出制度的周延性、灵活性与实用性。
其一,随着数据驱动经济快速发展,数据共享程度加深,数据往往不只是局限在一方主体手中,更多的是多个主体共同持有、使用同一份数据。例如,可能实际拥有数据的是一方主体,但数据的所有权又属于另一方主体。当一方主体触发数据泄露通知成为泄露通知义务人时,往往共同持有该份数据的主体将被认为同时担负起数据泄露通知的责任,因此,对于第①项例外情况,《隐私法》要解决的问题是避免泄露通知冗余,当出现多个义务人同时就一件数据泄露事件承担义务时,若已有一个义务人履行了通知义务,其他义务人将被免除该义务。OAIC建议,一般而言,应由与受数据泄露影响的个人关系最直接的义务人发出通知。
其二,在发生需要通知的数据泄露时,如果澳大利亚执法机构的长官基于合理理由认为泄露通知可能会损害执法相关活动,那么第②项例外情形将免除义务人的通知义务。此处,执法相关活动主要指侦查、起诉、情报收集、监视等活动,与此同时,导致第②项例外的情由应记录在案。
其三,当义务人作出泄露通知报告或声明时,不免会公开某些个人信息、企业信息甚至商业秘密,因此,第③项有关保密规定的例外,目的在于禁止未经授权披露客户信息进而损害享有该信息的权利人本身所要求的秘密性。
最后,在考虑公共利益、执法机关或上级意见等合理情形下,信息专员可以酌情书面通知义务人无需履行数据泄露通知义务。
3.澳大利亚数据泄露通知制度对我国的启示
随着数字经济的快速发展和社会智能化程度的加深,特别是人脸识别、虹膜识别等生物特征识别技术的广泛运用,从海量数据中精确识别到个人的难度大幅降低,大量生物特征数据的泄露对人身安全和财产安全的威胁加剧。我国急需出台相关制度予以回应。应当结合我国当下数据安全立法的大背景,适度借鉴澳大利亚数据泄露通知制度,注意概念的统一与逻辑的一致,从理论层面总结提炼,构建适合中国国情的数据泄露通知制度。
澳大利亚数据泄露通知制度实施成效明显,缘于其体系化的数据泄露通知立法和配套的实施指南。目前,我国尚未出台体系化的个人数据保护法,更没有制定专门的数据泄露通知制度,有关数据泄露通知的规定分散于多部法律、行政法规、地方法规、部门规章和各类规范性文件中。从内容来看,大部分立法都强调了数据安全主体的安全保护义务,但对于违反相关规定应当承担的法律责任缺乏明确表述,难以对国家数据安全问题形成有效治理[15]。具体而言,全国人大常委会于2012年通过的《关于加强网络信息保护的决定》第四条首次从法律层面对数据泄露进行了规定,但只提出“在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施”,而没有对数据泄露通知作出要求。2013年《消费者权利保护法》将数据泄露纳入其新增的第二十九条第二款,不过依旧没有进一步的规定;同年6月通过的《电信和互联网用户个人信息保护规定》(工信部24号令)第十四条规定,当发生数据泄露,造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,这是对数据泄露通知的较为完整的规定;2013年7月发布的《电话用户真实身份信息登记规定》(工信部25号令)第十三条对电信业务经营者也提出了数据泄露通知的要求;2016年我国《网络安全法》颁布,其四十二条第二款对数据泄露通知进行了明确规定“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”但该条规定迄今没有相应的实施细则。可见,与澳大利亚的数据泄露通知制度相比,我国现行制度还显得过于原则化。接下来,我国可吸收澳大利亚数据泄露通知制度的精髓,进行本土化设计,建立更加有效的数据泄露风险防范与治理规则体系。
随着《数据安全法》被列入十三届全国人大常委会立法规划,我国数据安全立法开始步入专门化、精细化构建阶段。2020年6月28日,《中华人民共和国数据安全法(草案)》提请第十三届全国人大常委会第二十次会议初次审议,并于7月3日在中国人大网公布,面向社会征求意见。但从当前发布的版本来看,除了在第二十条提出了一个原则性规定外,尚未对数据泄露通知问题作出具体的制度安排。数据泄露通知制度是数据安全保护体系的一大重点内容,我国不仅应将其纳入《数据安全法》中,且应适度吸收澳大利亚等先行国家的立法经验,结合我国国情,合理界定数据泄露通知范围,规范数据泄露通知触发流程,从而建立有效的数据泄露防范与治理规则,保护公民的合法权益。
我国现行立法对数据泄露通知的范围还有待进一步明晰和合理界定。《网络安全法》规定“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”,该范围过大。并非所有的数据泄露事件都有必要通知,因为一旦发生或可能发生数据泄露,义务人便需即刻履行通知义务,不仅会导致义务人负担过重,被通知过频的用户也会不胜其扰。数据泄露通知难免会对企业带来一定的声誉制裁[16],出于商誉影响程度、边际成本等方面的考虑,不合理的义务设定往往导致企业产生抵触心理而选择隐而不报。“虱子多了不怕咬”的心理作祟,反而会影响义务人在真正有必要通知的数据泄露事件中的判断和应对。对于用户而言,不必要的通知将隐含信息过载的风险,有学者以伊索寓言“狼来了”很好地揭示了该风险存在的可能性。不必要的通知对用户的影响就像一遍遍地喊叫“狼来了,狼来了……”,结果狼没来,却使得用户对安全告警信息逐渐麻痹,等到狼真正来时反而会不知所以、措手不及[17]。此外,不必要的通知还会增加主管部门的管理成本、应对成本。因而能够被及时补救或者根本不会造成损害的数据泄露事件没有必要纳入泄露通知范围。
我国应在《数据安全法》和相关配套制度中合理界定数据泄露通知的范围。应当明晰数据泄露和符合泄露通知条件的数据泄露并不等同,需要义务人履行通知义务的数据泄露应当是可能产生严重损害的数据泄露事件。如通过立法明确数据泄露通知是指在发生或可能发生数据泄露,且该泄露将对与数据有关的任何个人造成严重损害时,义务人应当在规定的时间内以适当的形式通知主管部门及个人的制度。
在整个数据泄露通知制度中,其通知流程是最主要的部分。如何合理设置触发泄露通知的条件,规范通知的响应时间,需要进行多方面的考量。规范的通知流程也决定了这一制度是否能够在我国顺畅地执行下去。在借鉴澳大利亚立法经验并对其进行优化的基础上,我国可采取图2设计的数据泄露通知的流程。
图2 数据泄露通知流程
我国可将泄露通知的触发判断条件规定为以下三步:①发生或可能发生数据泄露;②数据泄露将造成严重损害;③义务人无法自行消除数据泄露带来的损害风险。如果仅仅是发生了轻微的数据泄露,不会造成严重损害影响,义务人自行补救或处理即可。如果发生可能导致严重损害的数据泄露,但义务人凭借自身的经验或者能力能够消除风险,也仅需自行补救无需进行通知。如果无法判断是否发生了数据泄露或者无法判断数据泄露的严重程度,义务人应当立即对该可疑的数据泄露事件进行评估,评估应当在一个月内完成,若评估结果显示可疑事件将产生严重损害且义务人无法立即消除风险,则义务人履行通知义务,若评估结果显示可疑事件不会产生严重损害,则自行补救处理。由此可见,当且仅当满足上述三项条件时,数据泄露通知程序才得以正式启动。
此处,对于严重损害程度的把握,可以考虑四个因素:①数据的类型和规模。显然,诸如身份证、工作证、护照等身份信息的泄露比姓名、性别或民族等一般信息泄露的潜在危害大,而生物特征信息泄露的危害又将大于身份信息泄露,也即泄露数据的类型不同可能造成不等的严重程度。同时,多人信息的泄露又比单人信息的泄露造成的潜在危害大,因此数据规模也是一个重大考量。②数据的公开性。非公开数据因其存在的秘密性将导致其泄露影响大于公开数据的影响。③数据是否采取安全防护,以及防护的层数。若是一打加密的数据被泄露,其安全性尚大于未被加密的数据,同时,加密技术的强硬性以及技术安全盾的层次性也会影响该数据遭泄后的风险严重程度。④数据泄露的流向。有时数据可能以物理方式被控制者/处理者不小心遗落在某处,从而被普通公民拾得并进行查阅,有时数据可能是被黑客恶意攻击而被迫公开,有时数据也可能是被内部员工盗走进行不正当交易。总之数据流向何人之手以及作何之用,都是判断泄露严重程度的重大考量因素。
义务人何时发出通知应当紧跟触发条件,一旦义务人满足了泄露通知条件,即不论是发生数据泄露且产生严重损害风险同时义务人无法自行消除风险,还是可疑的数据泄露被评估为符合泄露通知要件,都应该立即向用户及主管部门发出通知报告。并及时有效地履行义务,防控风险的扩大,阻止损害的扩张。
4.结语
“没有网络安全就没有国家安全”[18],而数据作为重要的战略资源,数据安全是网络安全的核心,提高数据泄露事件的应急处置能力,是我国治理体系和治理能力现代化的一大表征。数据泄露通知制度是美国、欧盟、澳大利亚等国家/地区在立法层面攻克数据泄露的重要战略选择,其中澳大利亚对数据泄露通知的义务人、通知对象、通知时间、触发条件、通知内容、通知方式以及通知例外做了整合规定,其信息专员办公室出台的相应指南也为其制度的实施提供了强有力指引。对澳大利亚数据泄露通知制度具体规则的剖析,不仅解构了其运作机理,也为我国数据泄露通知制度的设计提供了有益借鉴。从泄露通知的内容,到泄露通知应遵循的程序,我国都存在较大的创新空间。从规范数据治理到保护数据安全,对于将数据泄露通知制度纳入我国《数据安全法》当属合理期待。
数据泄露通知是法律赋予数据控制者与数据处理者的数据保护义务,商业机构和政府之间的联合将强化网络行为的规制能力[19],泄露通知制度的正常有效运转需要义务人与主管部门的相互配合。发出通知报告并不意味着泄露通知义务的结束,主管部门的响应、分析以及义务人自身的经验总结对最大化数据泄露通知制度的绩效具有重大意义。与此同时,通过数据泄露通知提高公民的数据安全意识也是数据泄露通知制度的一大目的。
①根据《我的健康记录法》第五部分第75条,此处的义务主体指系统运营商,注册医疗服务提供商组织,注册存储库运营商,注册门户网站运营商或注册订约服务提供商。
②注册政党为依照《1918年联邦选举法》(Common wealth Electoral Act 1918)第XI部注册的政党。
参考文献
作者简介
刘妍, 硕士生, 研究方向为知识产权、数据法学, Email:820642547@qq.com;
肖冬梅, 院长, 管理学博士、法学博士后, 研究方向为知识产权、数据法学, Email:86650210@qq.com。
*原文载于《信息资源管理学报》2021年第3期,欢迎个人转发,公众号转载请联系后台。
* 引用格式
刘妍, 肖冬梅. 澳大利亚数据泄露通知制度及其启示[J]. 信息资源管理学报, 2021, 11(3): 40-49.
往期 · 推荐
当期荐读 2021年第3期 • 专题前言 | 数据治理制度建设
当期荐读 2021年第3期 | 国际个人数据跨境流动治理模式及我国借鉴研究
制版编辑 | 王阿凤
审核 | 于阿媛
长按识别二维码关注我们
信息资源管理学报
微信号
xxzyglxb
分享、在看与点赞
只要你点,我们就是胖友