2023年2月14日,多家官方媒体报道披露了一起疑似约45亿条国内个人信息泄漏的安全事件;2月15日,网络安全行业上市公司安恒信息在其官方微信公众号发布《不要泄露!疑似45亿条国内个人信息泄露背后的数据安全账》。相关报道指出,“2月12日晚,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了国内45亿条个人信息,数据包大小达435GB,疑似电商或快递物流行业数据。用户仅需输入手机号,即可通过该机器人查询到姓名、手机号和详细的收货地址等隐私信息。”
受此次事件影响,2月15日开盘,快递板块集体下挫,截至当日收盘,申通快递、顺丰控股、韵达股份跌幅均超过2%,圆通速递跌幅近6%。相关媒体就此次个人信息泄漏事件向电商、快递物流行业相关头部企业进行求证,其中淘宝方面暂无回应,京东、顺丰均表示未收到相关消息;圆通速递证券部工作人员回应称“已经注意到二级市场的波动,上述传闻与公司无关,公司生产经营一切正常。”
针对如此大范围的疑似个人信息泄漏事件,在不少官方媒体和专业机构的报道披露的情况下,涉事的电商、快递头部企业可以完全保持沉默或者不予置评吗?
我国《网络安全法》《数据安全法》《个人信息保护法》分别对发生网络安全事件、数据安全事件以及个人信息泄漏事件时网络运营者、数据处理者以、个人信息处理者的相应义务予以及相关监管部门的职责以了明确:
《网络安全法》第55条规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息;第56条规定,省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。
《数据安全法》第29条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
《个人信息保护法》第57条规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害,(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施,(3)个人信息处理者的联系方式;个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
鉴于个人信息安全与网络安全、数据安全的密切关系,此次发生或者可能发生的疑似约45亿条国内个人信息泄露事件,可以说不仅属于个人信息泄漏事件,也属于网络安全事件和数据安全事件。如果涉事企业既向公众保持沉默或者敷衍回应,也未主动向监管部门具体说明,监管部门有必要出场,启动对此次海量个人信息泄漏事件的调查和评估:如果此次事件完全不属实,应及时向社会发布澄清信息,并对继续传播或者捏造不实信息的行为依法予以打击;如果此次事件属实或者部分属实,则应该及时向社会发布相关警示信息,并监督相关网络运营者(数据处理者、个人信息处理者)依法履行网络安全(数据安全、个人信息保护)的义务。
当前,“暗网”上的个人信息泄漏(非法交易)是网络数据安全监管的主要挑战之一,此次事件再次给网络数据安全风险监测敲响了警钟,头部企业在开展网络数据处理活动中尤其应当依法加强风险监测。
编辑 | 郑常绿
审核 | 谷 语
声明:本文来自数据法学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
