从FaceBook自曝安全漏洞看企业如何应对GDPR合规

FaceBook前天通报了一个用户账户相关的安全漏洞，FaceBook称黑客可以利用该漏洞盗窃用户的访问令牌，即黑客可以在不需要密码的情况下登录用户的账户并获取用户的大量私人信息，如照片、视频等。该漏洞波及FaceBook近5000万用户，约占FaceBook总用户数的四分之一。

用户信息被泄露，影响容易由点波面，被识别被关联侵犯个人隐私甚至被非法利用。有媒体就直言这样的漏洞被利用，可能会损害用户的人身和财产安全。

据安全专业人员称，像FaceBook这样的公司，每年大大小小被发现和修补的安全漏洞至少有几千个。单单通报这一漏洞，是因为这个漏洞会直接影响近5000万甚至更多个人账户的安全，属于重大安全事件。

我们的问题来了:

一、为什么不顾股价大跌的风险要及时公开通报该漏洞呢？

研究欧盟通用数据保护条例（GDPR）的法律专业人士会可能会更加理解FaceBook的这一选择。股价是资本市场的游戏，一次事件引起的涨涨跌跌，不足影响全局，价值判断也因人而异。反而，合规被认为是长远稳定发展的基础。长远而言，这样的危机事件不一定全是负面影响，由于关系到用户的个人信息安全问题，这一定是近一段时间受GDPR调整的公司重点关注的问题。公开通报的方式，远期来看是负责任和努力合规的表现。

二、重点关注漏洞还是数据泄露安全事件？

虽然本次FaceBook披露的主要内容是安全漏洞，但是由于本次通报的是与用户个人信息泄露相关的高风险漏洞，本篇主要从GDPR角度针对其中的个人信息合规工作进行分析。

漏洞则是另外一个问题，一般被认为是一个系统存在的弱点或缺陷，甚至被认为是重要的国家资源，对于FaceBook这样的企业而言，其痛点并不在于安全漏洞的发现和修复，而是如何保证用户的个人信息安全和数据安全。

三、一旦数据泄露是否必须第一时间公开告知用户呢？

FaceBook之所以要公开告知用户这一漏洞的存在，一个比较重要的因素会是其担心这一漏洞可能会对用户的权利和自由产生高风险，如果不及时告知，未来会面临GDPR的处罚风险。

一方面，依据GDPR，如果漏洞已确实及时修复，且不会引发侵害用户数据权益的高风险时，其并不要求一定要向用户告知。 GDPR特别规定了数据泄露情况下告知用户的例外情形，其中之一即已经采取适当措施，且采取措施后数据泄露安全事件不可能引起高风险；我们可以看到FaceBook称其在本次披露前已经修复了该漏洞，对于修复的理解即漏洞已经不存在，至少漏洞不存在这一事实属于未来不可能引起高风险的情形。依据GDPR，修复了漏洞以后，在不可能引发高风险的情况下，FaceBook仅需要满足72小时报告监管机关，并不需要告知用户，做出类似本次这样的披露。

按照GDPR要求，如果该漏洞不会造成对个人权利和自由的破坏风险，甚至不需要做任何告知。

另一方面，数据泄露的告知要求是以确实发生数据泄露事实为前提的，如果并未发生数据泄露的事实，无需告知用户，仅需要在数据处理行为可能产生高风险时，应当及时告知用户。

如不按GDPR要求，在数据泄露后72小时报告监管机关或者在数据泄露事件可能会对用户的权利和自由产生高风险时未及时告知用户，则有面临最高1000万欧或上一年度全球营业总额2%的处罚风险。

因此，FaceBook的公开披露行为是最佳选择。

相反的案例：

Uber在2016年10月发生的全球5700万乘客个人信息+约700万司机个人信息被泄露后选择隐瞒事件，未报告监管部门和告知用户，并向黑客支付了10万美元的“封口费”，要求保密。事后检察机关认为Uber决定掩盖这一事件，有悖于公众的信任。事后Uber通过支付1.48 亿与检察部门达成和解。

四、如何披露和处理才符合GDPR要求？

我们从对GDPR的理解，分析FaceBook处理的合规性：

1、目前对于GDPR的认识观点不一。有一种观点，可能是比较普遍的观点认为其是史上最严的数据保护法，支持的论据之一即处罚重；另一种观点则认为GDPR其实有很多支持企业发展，鼓励创新和竞争的地方，处罚并不是一定最重，而是以设置上限的方式呈现，不一定一个小程度的违法就被处罚到上限，更多由法官自由裁量决定。第二种可能更具实践性。

2、不告知和通报的风险

数据泄露时未尽到告知义务，会面临最高1000万欧元的罚款，或最高上一年全球总营业额的2%的风险。具体处罚，法官可能会根据违法情形进行自由裁量，此法律风险可能是其通报的主要考虑因素，另一方面，及时通报的合规行为也可以树立正面的企业形象。

3、告知的条件与处理步骤

A.前提条件是发生数据泄露事件。从披露中可以看到，FaceBook称其产品漏洞已经被黑客利用，即产生了用户信息泄露的高风险，其非常巧妙的称仅在初步调查阶段，尚不知涉及的账户是否已经被滥用或访问了任何信息。从事件已经引起的用户诉讼看，是否实际泄露用户账户等信息，是未来案件需要查清的首要问题。

B.第一时间采取适当的技术和组织措施，启动应急预案。防止风险扩大，止损并修复漏洞。

C.报告监管部门。作为数据控制者，被要求在得知数据泄露事件发生的72小时内报告监管机构，且需要记录任何个人信息泄露的情况，以便监管部门审查。从披露内容和时间我们可以看出，9月25号发现泄露并在9月28号公开披露前告知了监管部门，符合72小时要求。

数据泄露报告中至少应当包含以下内容：

关于数据泄露事件的性质与描述、涉及的数据主体的总量、类型以及数据记录的总量；数据保护官的姓名和联系方式，泄露可能造成个人信息侵害的结果，企业已经采取的或预计采取的止损措施。

D.告知用户。作为数据控制者，被要求在可能引起用户权利和自由高风险时，第一时间与涉及的用户进行交流，即告知用户，因此此次公开披露符合要求。

E.应对监管部门的审查，防止行政处罚。数据控制者应当全面记录数据泄露事件所涉及的数据及处理过程并文档化，以便监管机构能够检查其合规工作。

F.应对用户的投诉与诉讼。就在披露完的第二天已经有用户起诉FaceBook侵犯个人信息权益。

G.继续满足处理过程的安全义务（如匿名化、假名化及加密技术；定期测试、评估衡量保护措施的有效性；适当安全的保护程度，尤其重视处理过程的安全风险；采取措施保证人员不在指示外处理数据等）。

参考：

http://finance.sina.com.cn/stock/usstock/c/2018-09-29/doc-ifxeuwwr9345591.shtml

https://newsroom.fb.com/news/2018/09/security-update/

声明：本文来自360法律研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。