2026年1月22日,法国CNIL因France TRAVAIL(原名Pôle Emploi,法国国家就业局)未能确保求职者数据安全,向处以500万欧元罚款。

1. 事件背景

  • 泄露时间:发生在2024年第一季度。

  • 受影响人数:涉及约4,300万人,包括当前及过去20年内在France Travail 注册过的求职者。

  • 泄露信息:包含姓名、社会保障号码(National Insurance numbers)、出生日期、邮箱地址、邮寄地址和电话号码。但不包含银行信息、密码或完整的求职档案(如健康数据)。

2. 攻击手段

黑客利用了社会工程学(Social Engineering)手段,诱骗内部员工从而非法侵入了信息系统。

3. CNIL 的裁定理由

CNIL调查发现France Travail违反了GDPR第32条(数据处理安全性务),具体过失包括:

  • 安全措施不力:技术和组织层面的防护措施不足,未能有效阻止或加大攻击难度。

  • 未落实已知对策:CNIL 指出,France Travail 在之前的风险评估中其实已经识别出了必要的安全措施,但在实际操作中并未落实

  • 权限管理问题:相关账户的权限定义过于广泛,导致黑客获取了超出必要的访问权限。

  • 缺乏有效监控:系统日志记录和异常行为检测能力不足。

4. 处罚决定

罚款金额:500万欧元。

  • 考量因素:罚款数额综合考虑了受影响人数之多、数据的敏感性以及对基本安全原则的忽视。

  • 合规指令:除了罚款,CNIL 还要求France Travail 在规定时间内提交进一步的整改证明,否则将面临每日5,000 欧元的逾期罚款。

本文想要讨论的是:数据安全到底做到什么程度才算到位?做到位还是发生数据泄露,是否还是会受到处罚?

那到底数据安全做到哪些动作才是到位的?CNIL 在处罚公告下面附上了有这样一份指南《个人数据安全实践指南》(Practice Guide on the Security of Personal Data),并说到:

This guide is a reference whom data protection officers (DPO), chief information security officers (CISO), computer scientists or legal experts may use in the context of their activities for data security. This guide is also a reference used by the CNIL in order to asses the security of personnal data processing.

也就是说,该指南不仅是一份数据安全保护“建议”,它更像是CNIL 划出的 “合规红线”。这份指南可以作为数据安全的“执法和评估依据”,当CNIL 对某个组织进行现场或在线审计时,他们会对照指南中列出的安全要求(如密码强度管理、数据加密、日志记录、权限控制等)来检查该组织是否达标。如果企业能够严格按照这份指南实施安全措施,那么在面对CNIL 的检查时,就能够证明自己已经履行了GDPR 下的“数据处理安全性义务”。

GDPR和CNIL 的逻辑并不是“结果责任制”(只要泄露就罚),而是“过程与风险责任制”。

GDPR要求的不是“绝对安全”,而是“适当安全”

GDPR第32条规定,组织需要根据:

  • 现有技术水平(State of the art)

  • 实施成本

  • 处理的性质、范围和目的

  • 风险的严重程度

来采取“适当的技术和组织措施”。CNIL的指南就是对这些“适当措施”的具体化。如果企业证明自己已经采用了当时技术水平下的最佳实践(即“指南到位”),通常就履行了法律义务。

相反,如果黑客利用了一个“零日漏洞”(即全球还没人知道、还没补丁的漏洞)攻破了你。如果企业能证明所有的软件都已按指南及时更新了已知补丁,CNIL 通常不会处罚企业,因为这超出了“现有技术水平”的防范范围。

另外一点也至关重要,就是证明企业做到位了。“做到位”后的防御武器:尽职记录 (Accountability)

如果按照指南做了,但在审计中空口无凭是不行的。需要拿出证据(即GDPR 的问责制原则):

  • 审计日志:证明定期检查过漏洞。

  • DPIA报告:证明在项目开始前就评估过风险并实施了指南里的建议,并采取了哪些措施降低风险。

  • 培训记录:证明企业员工受过防钓鱼培训。

中国语境:民事责任与行政处罚

《个人信息保护法》

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

第69 条确立了“过错推定原则”,要求企业在造成个人信息权益损害时自证无过错。但实践中:发生数据泄露,并不一定直接导致个人权益的实际损害。 比如,泄露的数据是经过强加密的,或者企业及时切断了传播路径,用户并没有接到诈骗电话,也没有产生财产损失或者人身损害。在这种情况下,第69 条的民事赔偿责任可能并不会被触发。

然而,企业真正悬在头上的利剑是第66 条——行政法律责任。行政处罚的逻辑与民事赔偿完全不同:它罚的是“不作为”。即便黑客偷走的是一堆无法破解的加密字符,没有造成任何人的实际损失,但如果监管机构(如公安,网信部门)在调查中发现你违反了第51 条规定的“安全保护义务”——比如没按要求设防火墙、没做日志审计——这种合规义务的缺失本身就是违法。

换句话说,行政处罚罚的是你“没锁门”的行为,而不是“丢了东西”的结果。

在中国,数据安全做到哪些安全措施才算“到位”?

《网络安全法》第二十三条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

在《网络安全法》第21条与《数据安全法》第27条,均强调了等保是所有数据处理活动的“物理底座”。 这意味着,在中国,等保测评报告就是企业应对行政调查的第一份“投名状”。它证明了企业在物理安全、网络安全、主机安全和应用安全上达到了国家的基准线。

《GB/T 22239信息安全技术 网络安全等级保护基本要求》是基础要求。它列出了基线要求——网络隔离、身份鉴别、恶意代码防范等具体安全防护。如果企业连等保测评都没有通过,在数据泄露发生时,几乎没有任何辩解空间。

《GB/T 25070 2019信息安全技术 网络安全等级保护安全设计技术要求》可以指导企业如何通过“一个中心,三重防护”的技术路径,从零构建出符合等级保护要求的安全体系。

总结:处罚判定的三个关键维度:免责的黄金法则

综合国内外立法和执法实践,我们可以总结出监管在决定“罚不罚”时的三个核心判定点,这也是企业安全与法务部门在应对调查时最应紧抓的三点:

1. 预防的充分性(Pre-incident Readiness):监管会回溯泄露前的瞬间。企业是否按照法律法规做好网络数据安全防护,参照国家标准完成等保测评或者进行了加密、去标识化?是否在项目上线前做过个人信息保护影响评估?然后做好合规动作的记录,在泄露发生时作为自证清白的呈堂证供。这是豁免处罚的第一块基石。

2. 发现的及时性(Detection & Monitoring):如果黑客在系统里潜伏了半年企业都没发现?还是攻击者在尝试脱库的瞬间就被企业防护系统截断?网络日志留存是否符合法定的6 个月要求?这份日志就是企业反击黑客、证明自身监控有效的核心证据。

3. 处置的积极性(Post-incident Response)在泄露后,企业是否根据当地监管要求和具体情况是否主动报告?是否及时通知用户去改密码?如果遮遮掩掩,那么即便安全防护上没毛病,监管也会因为企业的“合规操守”给予重罚。

结语:安全是动态,合规是证据

在网络安全防御中,绝对安全是难以达成的目标。企业数据安全治理的核心逻辑在于通过“程序合规”来降低法律后果的不确定性。依据相关法律法规,企业履行安全保护义务的程度是衡量其法律责任的关键。通过留存详实的系统日志和合规性评估报告,企业可以构建‘尽职尽责’的证据体系。在发生数据泄露调查时,若能证明已采取了符合行业标准的技术与管理措施,企业将具备法定的抗辩理由,从而有效规避或减轻行政处罚风险。

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。