案例分析 | 法国CNIL就软件供应商数据泄露事件开出高额罚单
编者按
网络安全、数据安全是国家整体安全的重要组成部分,也是维护公众信息安全、保护个人隐私的重要保障。在我国《网络安全法》实施五周年之际,我们特选取了一例近期发生在境外的,具有代表性的数据泄露案例。该案例在处罚力度、处罚对象以及违规事实上,均具有行业内的代表性。随着近期欧美各国监管机构频频对各大企业的数据违法行为采取了严厉处罚措施,我们希望通过对该代表性案例的解读,为中国企业出海开展数据业务、遵循GDPR等各项合规要求、防范类似风险提供参考,并对大家合规工作有所启发。
01
案 件 背 景
2022年4月15日,法国数据保护局(CNIL)终结了长达两年的针对DEDALUS BIOLOGY(DEDALUS)的调查。CNIL认定DEDALUS违反GDPR中数据处理者的相关义务,而作出了行政处罚的决定。DEDALUS,这家旨在为医学分析实验室提供软件解决方案的公司,在提供SaaS云服务、病患档案管理服务的过程当中,出现了多项违规操作,造成了包括医患数据等敏感个人信息的泄露,涉及到的个人信息主体量级接近50万人,因此收到了目前为止CNIL在法国医疗健康领域内出具的最高额罚单,甚至超过该公司2020年的全年净利润收入。
02
处 罚 依 据
CNIL调查结束后,认为DEDALUS公司的行为违反了GDPR第28(3)条、第29条以及第32条的规定,并最终依据GDPR第83条实施处罚。
03
处 罚 事 由
DEDALUS 在为多家医疗实验室提供数据迁移服务过程中,泄露个人信息所涉及的个人信息主体量级巨大,而且泄露的个人信息类型不乏极为敏感的遗传信息,具体包括:
(1)身份识别数据;
(2)与患者症状、怀孕状况、患者药物治疗相关的特定信息或者遗传信息;
(3)医生的身份信息;
(4)与采样相关的身份信息;
(5)保险公司相关数据;
(6)患者用以登录系统的标识符和密码。
在查清该公司泄露大量上述信息的事实后,CNIL最终认定DEDALUS公司违反GDPR中数据处理者的相关义务而作出了行政处罚决定主要基于如下理由:
1. 该公司违反GDPR第28(3)条规定,签订合同欠缺必要条款
依据GDPR第28(3)条,数据处理者与数据控制者签署的合同及实施的其他法律行为应当包含处理的主题和期限、处理的性质和目的、个人数据的类型和数据主体的类别以及数据控制者的权利和义务,以及其他需要具体特别规定的内容。而CNIL经检查,认为该公司:
(1)一般销售条款中未按照GDPR第28(3)条规定设置处理目的等内容。
(2)维保协议中同样欠缺GDPR第28(3)条规定的必备合同项。
然而,该公司在后续新的分包模式下所签署的合同,却包含了GDPR第28(3)条规定的合同必备内容,但却对以往签订的销售、维保合同缺乏回溯性管理,以致DEDALUS没有发现相关合同数据处理者义务章节的缺失,错过了及时弥补合同漏洞的机会。上述行为无疑使得监管认定DEDALUS在整个数据泄露事件中未尽注意义务,存在严重过失。
2. 违反GDPR第29条规定,超出数据控制的授权处理个人数据
依据GDPR第29条规定,除非数据控制者明确授权,数据处理者不得处理个人信息。而事实上,该公司:
(1)没有按照数据控制者的指示,在必要范围内提取相关数据
该公司超出控制者明确授权,处理了2017年5月7日以前的患者数据,超范围处理量级达到总数据量的6.5%。处理个人数据超出了必要范围,处理了授权类型以外的病患数据,例如,注释P("comment P")和注释D( "comment D" )尽管并不在需要提取的字段列表中,也被该公司提供的软件提取了。
(2)以公司技术无法达到要求进行抗辩,并不能免除企业履行GDPR规定的处理个人数据的义务
该公司主张提取工具仅能对相关实验室的病人文件进行全面提取,并且认为已经进行了迁移所需的提取操作且考虑当时用于迁移的工具的技术限制而确定的。监管机构对此并不认可,并认为该公司不能依靠一个不合适的工具来证明自己尽到了数据处理者的义务。例如,其可以选择另一种工具,使其能够遵守其用户的指示,或者至少删除所有不应该被提取的数据。
3. 违反GDPR第32条,企业没有尽到保障数据安全的义务
根据GDPR第32条关于“处理的安全性”的规定,企业应当考虑到技术水平、实施成本和处理的性质、范围、背景和目的,以及对自然人的权利和自由造成的不同可能性和严重性的风险,控制者和处理者应实施适当的技术和组织措施,以确保与风险相适应的安全水平。经查,该企业数据安全领域存在两方面突出问题:
(1)该公司在技术和组织安全方面存在缺陷
该公司缺乏数据迁移操作的具体程序,没有对存储在MEGABUS FTP服务器上的个人数据进行加密,也没有在迁移到另一个软件后自动删除数据,缺乏访问MEGABUS FTP服务器公共区域所需的互联网认证,在同一服务器的私人区域使用几个员工共享的用户账户,以及缺乏监测和提出服务器安全警报的程序。
(2)该公司在连续警报后,并未对安全系统进行充分调查
虽然该公司进行了内部调查,以确定可能的泄漏源,并采取了一些纠正性和预防性的措施,但并没有进行充分的尽职调查,以确定其他实验室数据是否可能泄露以及现有漏洞是否是泄露的根源。
04
处 罚 结 果
结合上述调查事实,CNIL在考量行政处罚的幅度时,依据GDPR第83条规定的标准,充分考虑了侵权行为的性质、严重程度、受影响的人数和遭受的损害程度、侵权行为是否因疏忽而实施、控制者为减轻数据主体所遭受的损害而采取的措施、与监督机构的合作程度以及违规行为所涉及的个人数据类别等要素。据悉,该公司报告2019年的营业额为1880万欧元,2020年为1630万欧元,2019年的净利润为2,226,949欧元,2020年为1,437,017欧元。CNIL在强调该侵权行为对相关人员造成的极大伤害如泄露了敏感数据的基础上,考虑了该公司的业务财务状况。最终,CNIL作出了150万欧元的高额罚款,超过了该企业2020年的全年净利润总额。
05
合 规 分 析
1. 软件企业,特别是“走出去”的软件企业,应当严格遵守GDPR为代表的外国法律制度,及时审视有关合同条款
实践中,部分企业往往存在侥幸心理,在签订的合同内容中没有及时根据法律规定更新合同内容,如纳入具体的数据处理者义务条款等。针对此类一般销售协议中不具备GDPR第28条所要求的信息内容,没有及时更新协议条款,则可能面临严厉的行政处罚。因此,企业,尤其是行业普遍依赖格式条款的SaaS云服务企业,在对外开展商事合作的过程中,应通过衡量数据控制者的目的来处理个人信息的必备条款;应当积极关注并及时更新自己的商业协议,如维护协议、销售协议等,检查是否已经具备了GDPR规定的必备条款。尤其需要关注GDPR数据合规的相关规定及章节,以规避合规风险。
2. 企业应积极提升技术工具水平,确保符合相关法律规定要求
我们认为,国内初创型企业出海开展业务时宜高度重视相关监管要求。诚如,企业不能以自己作为初创型公司不具备相应要求的技术工具作为抗辩,进而认为自己的数据处理行为符合数据合规要求,从而避免追究法律责任。企业应基于法律要求随时更新技术标准,不断改进适用的工具和技术。如果企业自身技术水平达不到规定要求,可以参考选择其他工具甚至购买其他公司的工具和服务以作技术支撑。
3. 企业作为数据控制者、处理者应具备适当的技术手段和组织措施
根据GDPR的规定,个人数据的控制者和处理者应当实施适当的技术手段和组织措施来确保整体合规性。例如,对个人数据进行假名化或者加密处理,以确保处理系统及服务持续保密。在处理完毕个人数据后,也应当依法及时删除或者匿名化。另外,遵循GDPR第40条所述的经批准的行为准则以及第42条所述的经批准的认证机制,以确保数据处理的安全性。
4. 企业应高度重视安全预警等提示,采取有效措施保障数据安全
一般而言,根据GDPR的规定,监管机构在考虑处罚幅度时也会考虑公司以往是否出现过类似的安全预警,是否采取了充分的措施,是否是初次违反。我们认为,如果企业在出现类似警报后,仍未采取积极有效的措施,或者明知自己存在此类风险及缺陷时,并未积极采取必要措施,则存在较大可能被认为具有严重的主观过失。进而,也会相应提升监管处罚的力度,企业随之遭受巨额处罚的风险显著提升。因此,企业应当定期调查系统安全状况,完善相应的制度建设与应急预案,切实遵循相关安全要求,履行数据合规的安全保障义务。
06
结 语
本案企业系从事数据处理服务的软件制造商,处理的数据内容涉及到个人敏感信息,影响主体达到50万左右,处罚金额150万欧元,已超过该公司上一年全年利润总额,其处罚力度之大在法国医疗健康领域前所未有。
在我国《网络安全法》正式实施五周年之际,我们特提醒“走出去”的国内企业:不仅要严格遵循国内网络安全法律法规的体系,也应当在海外开展商事活动过程中高度重视数据安全与合规建设,有针对性地就国内外法律制度的变化,调整相关安全架构与合规体系,提高企业合规经营的适配度,降低违规处罚的风险。
长按二维码一键关注