引言
数据安全核心的两个风险是数据滥用和数据泄露。对于数据滥用问题,可以通过严格的法律规则来保证规范的数据处理,从而防范数据滥用。但是,数据泄露却并非可以完全避免,它不仅是内部风险,也经常因为外部攻击而发生数据泄露。数据泄露一直都是数据治理领域的长盛不衰的新闻话题,像是悬于企业头顶的达摩克利斯之剑。我国早在2012年,就对数据泄露问题作出了法律规定,《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等重要法律法规中均涉及数据泄露问题,今年再次公开征求意见的《网络安全法(修改再次征求意见稿)》中也拟对大量数据泄露的情形规定严格的法律责任。然而,数据泄露从未停止,反而总能成为头条新闻,在各类统计盘点中不断翻新记录,加剧数据焦虑但又难以杜绝。
01 数据泄露现状
虽然世界各国均在不断推进数据立法和数据保护监管行动,但是过去十几年来,全球范围内数据泄露仍然呈现持续上升的趋势。IBM Security发布的《2024年数据泄露成本报告》(Cost of a Data Breach Report)显示,2024年数据泄露的全球平均成本上升至488万美元,再次达到历史新高,比2023年增加了10%,是自2020年以来增幅最大的一年。而就在2020年,据中国信息通信研究院透露,2020年全球数据泄露的数量超过了过去15年的总和。当时,数据泄露就成为亟需解决的数据安全问题。《2024年数据泄露成本报告》发现,医疗健康、金融服务、制造、科技和能源企业的数据泄露成本最高,其中医疗健康企业已经连续14年付出最高的数据泄露成本,平均达到977万美元。奇安信发布的《2024中国政企机构数据安全风险研究报告》显示,2024年全球至少有471.6亿条数据泄露,较2023年的103.8亿条增长了354.3%。报告指出,全球范围内,IT产业、生活服务业和互联网行业是数据安全事件高发行业;而国内的互联网、政府及事业单位、制造业、医疗、金融、教育等行业是高发行业。
值得反思的是,随着数字社会不断形成和成熟,人们数据保护意识持续提升,企业也在不断加大数据保护投入,但是数据泄露的情况并未好转,反而似乎在更为恶化。可是到了今天,数据泄露仍处于上升趋势,并未因为问题之迫切而得以妥善解决。根据Verizon《2024年数据泄露调查报告》显示,漏洞、勒索软件、人的因素是数据泄露的主要诱因。Verizon历年报告显示,2021年85%的数据安全时间涉及人的因素,2022年为82%,2023年为74%。2024年,Verizon对人的因素的计算指标进行了调整,排除了滥用特权等主动恶意行为,但仍然有68%的数据安全事件涉及非恶意的人为因素。可以说,应对数据泄露在“人的因素”方面还有很多工作要做。如何提升从高层到基层员工的数据安全意识,更为准确地认识数据泄露并采取合理的行动,是企业防范数据泄露的前提和关键内容。
02 何为数据泄露?
数据泄露看似是一个难题,但实际上答案要从谜面中寻找。从字面理解,数据泄露可以理解为数据的丢失。但是必须注意到,基于数据的可复制性、非排他性等特点,数据泄露并不必然发生传统意义上的丢失。只要数据被未经授权地访问、查看、使用、复制或者删除等,甚至仅仅因为存在漏洞而有被未经授权地访问、查看、使用、复制或者删除的可能,都属于数据泄露的范畴。
国内相关数据立法中均对数据泄露作出了相关规定,虽然内涵基本一致,但在表述上有所不同(详见下表)。实际上,数据立法中的“数据泄露”的内涵要超出其字面含义。EDPB在其《关于数据泄露通知案例的指南》(Guidelines 01/2021 on Examples regarding Data Breach Notification)中及其他相关指南中均指出,数据泄露(data breach)主要有三种典型形式:(1)破坏机密性,导致个人信息被未经授权或者意外地访问或者公开;(2)破坏完整性,导致个人信息被未经授权或者意外的篡改;(3)破坏可用性,导致个人信息因意外或者未经授权地毁损或者丧失访问权。
国内有关数据泄露的法律规定。
金杜网络安全与数据合规团队整理
结合国内外规定综合理解,data breach所指向的法律制度具有一致性。它不仅是一种对数据本身的破坏,而且是一种对安全义务的破坏,结果上表现为数据安全状态的丧失。这种破坏包括毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为等等,从而产生了breach的实际后果。所以说,数据泄露与数据安全保障义务密切相关,数据泄露在法律意义上指的是破坏了数据安全状态,而这种破坏可能是因为违反了数据安全保障义务所导致的。需要注意的是,两者之间又不必然具有因果关系。有些企业在采取了适当的安全保障措施后,仍然不幸地发生了数据泄露事件。因此,世界各国在数据立法中广泛地建立了数据泄露通知制度,以此作为应对数据泄露的有效法律手段。
03 何为数据泄露通知制度
数据泄露通知制度是指当企业发生数据泄露事件时,按照相关法律法规和内部政策要求,及时向受影响的用户、监管机构等相关方发出通知和报告的制度。其主要目的是保护用户的隐私权和数据安全,确保受影响的用户能够及时了解泄露事件的情况,采取必要的措施来减少损失和风险。通过向监管机构报告,有助于监督机构更好地调配资源以降低数据泄露的损失。IBM《2024年数据泄露成本报告》中指出,执法部门的参与可以降低泄露成本,平均降低了20%以上(近100万美元)。同时,监管机构还可以及时了解数据泄露事件的情况,加强监管和追责。
不同国家和地区对于需要通知的内容要求不同,但总结起来主要包括以下五个因素:
(1)通知对象:包括受影响的用户、监管机构等相关方。
(2)通知内容:包括泄露事件的基本情况、影响范围、应对措施、联系方式等。
(3)通知方式:可以通过电子邮件、短信、电话、信函等方式进行通知。
(4)通知时间:在发现数据泄露事件后,应在合理的时间内向相关方发出通知。
(5)报告要求:向监管机构报告的要求,包括报告的时间、内容、方式等。
如根据《个人信息保护法》第五十七条第一款的规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(3)个人信息处理者的联系方式。
不过,企业势必会担心通知后产生的不利后果,导致承担严格的法律责任。这是制约数据泄露通知制度落地的重要情绪因素,也反向造成数据泄露持续成为新闻而又不断升级加剧。事实上,数据泄露通知的制度设计已经充分考量了这一问题,需要在实践中准确把握应用。按照规范的数据泄露通知制度要求,企业履行通知义务后,反而不应承担法律责任,并能够更有效地降低企业和用户损失。
04 数据泄露应当承担什么法律责任?
数据泄露属于网络安全事件的一种。国家网信办《网络安全事件报告管理办法(征求意见稿)》中将重要数据泄露、个人信息泄露等列入。欧盟也认为个人数据泄露属于数据安全事件。发生或者可能发生数据泄露时,就会直接触发企业的通知义务。前述列表中的相关法律规定均规定了数据泄露通知制度(《数据安全法》除外),即要求数据处理者在发生或者可能发生数据泄漏时,向主管部门或者用户报告。
金杜网络安全与数据合规团队整理
数据泄露导致数据丧失安全状态的结果,应该是数据处理者并不期望发生的,或者其发生已经超出了数据处理者的控制能力范围。EDPB《关于个人数据泄露通知制度的指南2.0版》(Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0)中指出,数据泄露的结果是数据控制者(data controller)不能确保根据GDPR第5条的要求处理个人数据。恰恰是因为数据泄露难以绝对避免,而其又具有相当的数据安全风险,所以才对企业规定了通知的义务。数据泄露通知制度的通知,不具有自首的性质,也不是要求企业“自证其罪”。它的核心要义是,要求企业采取通知的行动,获取主管机关的指导或者资源支持,避免用户以及企业自身的进一步损失。
总结来说,监管、企业、个人等数据治理各方都不应将“数据泄露”本身视为违法行为,否则数据泄露通知制度就失去了意义,也不具备落地的可能。数据泄露通知制度实际上是一种单独义务,它独立于数据安全保障义务。这一点比较难以理解,在国内也缺乏具体的行业实践,但这是准确认识数据泄露通知制度的关键,也是让数据泄露通知制度真正有效的逻辑起点。
具体理解数据泄露通知制度的独立性,需要考虑实践中可能出现四种情形(见下图):(1)履行了数据泄露通知义务,也履行了数据安全保障义务——不承担任何法律责任;(2)履行了数据泄露通知义务,而数据安全保障义务未履行——不产生泄露不通知的法律责任,但要承担未履行数据安全保障义务的法律责任;(3)未履行数据泄露通知义务,而履行了数据安全保障义务——不承担数据安全保障义务的法律责任,但要承担不通知的法律责任;(4)未履行数据泄露通知义务,也未履行数据安全保障义务——既要承担不通知的法律责任,也要承担未履行数据安全保障义务的法律责任。
数据泄露通知示意图(实线箭头为通知流程,虚线为安全保障义务流程)
金杜网络安全与数据合规团队整理
数据泄露通知制度具有独立性,是因为数据泄露本身的风险性,需要在短时间内调动足够的资源应对安全隐患,避免发生更恶性的后果。数据泄露通知本质上就是信息共享机制,而信息的来源就是企业。数据泄露通知制度应该设置单独的法律责任(很多数据泄露通知制度都有单独法律责任),以防止企业担心通知后产生对己不利的后果,而不采取通知的行动。事实上,全面推进落实数据泄露通知制度后,数据泄露的不利影响反而会大幅下降,变成常态化的社会风险事件,由政府、企业、个人以及专业第三方机构共同应对。而不应陷于企业被动曝光后(或者未被曝光但仍需自行应对)独自承担风险后果的非良性循环局面。
05 美国的数据泄露通知制度
大多数国家和地区都有关于数据泄露通知的规定,比如欧盟的GDPR中就要求,数据控制者发现数据泄露后,必须在72小时以内通知监管机构。根据IBM《2024年数据泄露成本报告》,美国是平均数据泄露成本最高的国家,达到936万美元。但是,美国在联邦层面没有统一的数据泄露通知法,但多个行业性法规涉及数据泄露通知要求。例如,《健康保险携带和责任法案》(HIPAA)要求受管辖的实体在发生数据泄露时,向卫生与公众服务部报告,并在发现违规行为后60天内通知受影响的个人。如果涉及500人以上,还需通知媒体。通知内容包括违规事件描述、涉及信息类型、个人应采取的保护措施等;《格雷姆-里奇-比利雷法案》(GLBA)适用于金融机构,要求其在发现客户信息未经授权被访问时,尽快通知监管机构和受影响的客户;《联邦证券法》要求上市公司在发生重大网络事件时,向证券交易委员会披露相关信息。
虽然联邦层面没有统一的数据泄露通知法,美国所有50个州、哥伦比亚特区都早已出台了数据泄露通知相关规定,要求发生个人数据泄露时履行通知义务。大多数州的数据泄露通知法要求通知受影响的个人,部分州还要求通知州监管机构或信用报告机构,通知方式可以采用书面、电子通知或替代通知(如电子邮件、网站公告、媒体通知)。例如,纽约州于2005年出台了《信息安全漏洞和通知法案》,2019年又将其修订为《盾牌法案》(Shield Act)。《盾牌法案》扩大了个人数据的类型(增加了生物特征信息、用户名、电子邮件地址以及密码凭证),要求公司采取技术保障措施,保护个人数据安全。根据《盾牌法案》,对于未能及时通知的情况,法院可能会对每次未通知处以最高 20 美元的民事罚款,但最高不超过 250,000 美元。对于未能维持合理的保障措施,法院可能对每次违法行为处以最高 5,000 美元的民事罚款;加州民法典(California Civil Code)1798.29中也规定了发生数据泄露的通知义务,除特殊情况外,必须尽可能快地通知。如果单次数据泄露涉及500人以上的加州居民个人信息,就必须以电子方式通知加州总检察长。数据泄露通知必须以书面形式、平实语言完成,并应注明“数据泄露通知”(Notice of Data Breach)。通知内容应当包括:(1)发生了什么?(2)涉及哪些数据?(3)我们做了什么?(4)你能做什么?(5)其他更多信息。
加州数据泄露通知样表。来源:加州总检察长办公室,Search Data Security Breaches | State of California - Department of Justice - Office of the Attorney General
通常来说,数据泄露通知要求在尽可能短的时间内完成,大多数州要求在发现数据泄露后的30至60天内通知,但也有一些例外情形。例如加州明确,如果通知会影响刑事调查,则可以延迟通知。2023年11月,加州长滩市发生了严重数据泄露,涉及超过30万加州居民的敏感个人信息,但是直至2025年4月14日,长滩市才提交了数据泄露通知。此外,美国财政部下属的货币监理署(Office of the Comptroller of the Currency)近期被报道称,其电子邮件系统遭遇了重大入侵,黑客在一年多内监视了超过100个账户,并可能获取有关美国联邦监管金融机构财务状况的敏感信息,这一数据泄露事件被认定为重大事件,此次数据泄露事件于2月中旬首次被发现,但一些银行直到4月此事经过报道后才得知其规模和影响,因此,此次事件也引发了公众及相关金融机构对美国货币监理署应对措施、保障措施及数据泄露通知制度的质疑。
长滩市的数据泄露通知。来源:加州总检察长办公室,Search Data Security Breaches | State of California - Department of Justice - Office of the Attorney General
06 对企业合规的启示
在数字社会的发展和成熟过程中,数据泄露可能无法完全避免。数据泄露的发生与否,取决于企业数据安全保障水平的高低,也表现为攻防双方的零和博弈。在法律层面、监管层面和舆论层面对数据泄露采取绝对禁止性的态度,未必能够发挥应有的效果。充分认识数据泄露通知制度的作用,并将其真正运用到数据安全实践中,将是未来应对数据泄露的重要手段之一。对于企业而言,可以从两个方面合规。
建议企业提升数据安全保护意识,确保数据安全保障义务落实到位。数据安全保障义务需要持续投入和动态合规,且在数据泄露通知制度中具有终局性的效果——如果违反了数据安全保障义务,则难以免除法律责任。因此,需要按照《个人信息保护法》《网络数据安全管理条例》等规做好企业数据合规工作,特别是要结合企业自身规模、性质等,落实有关风险评估、影响评估、应急演练等法律规定,在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持,确保不违反硬性的数据安全保障义务。
建议企业对标相关法律法规中的数据泄露通知要求,如《网络安全事件报告管理办法(征求意见稿)》等,构建企业内部数据泄露等防控机制、监测机制以及报告机制。同时,还要及时跟踪有关数据泄露通知的政策指引、标准指南等制定发布工作,调整好合规心态及合规思路,必要时借助专业第三方机构的支持,积极通过数据泄露通知制度获取行政支持,减少企业和用户损失。值得注意的是,《网络数据安全管理条例》第五十九条规定了从轻、减轻或者不予处罚的情形。倾向于理解,数据泄露通知不仅是一项法律义务,同时也属于主动消除或者减轻数据安全事件危害后果的措施之一,有利于相关企业降低法律责任风险。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
