固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对
固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对
2021年12月,某跨国大型超市企业因企业网络系统中存在19项可利用的网络安全漏洞,且并未及时处理系统漏洞,而被深圳市公安局福田分局处以警告的行政处罚,并责令改正。网络系统的相关漏洞不仅会导致公司系统存在被攻击的风险,还有可能引发数据泄露事件。这份罚单也为相关企业的数据合规工作敲响了警钟。[1]
预防数据泄露是数据合规工作中的重点和难点之一,数据泄露事件一旦发生,企业不仅需要承担高昂的经济损失,还可能承担严重的法律后果。《数据安全法》规定,对造成大量数据泄露等严重后果的数据处理者,将处以较高数额的罚款,责令暂停相关业务、停业整顿、吊销相应业务许可证或营业执照;《个人信息保护法》也规定,违反个人信息保护义务导致信息数据泄露的,将没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务,相关违法行为还会被计入信用档案并公示。
在当前我国数据合规强监管的形势下,相关企业应更加关注数据泄露风险。特别是,对于从事数据处理业务的企业而言,预防数据泄露尤为重要。结合我们此前协助企业处理过的若干数据泄露事件。在本文中,我们将结合近期法规动态、执法案例和自身经验,向企业提出预防及应对数据泄露事件的合规建议。
一、防范数据泄露的数据保护合规义务
《数据安全法》通过规定数据保护义务防止企业数据泄露,而《个人信息保护法》和《网络安全法》等相关法律法规也从不同视角出发为企业规定了不同的合规义务,以预防数据泄露和降低数据泄露的影响。
• 数据分类分级与网络安全等级保护制度
数据分类分级和网络安全等级保护要求分别出自《数据安全法》和《网络安全法》,二者均强调分级分类的重要性,但具体要求不完全一致。数据分类分级保护侧重规范数据处理行为,以国家核心数据和重要数据的界定为核心内容;网络安全等级保护则围绕技术和管理两个角度规范运营者的网络运营行为,要求其根据相应的国家或行业技术标准对所运营的网络系统进行建设整改、定级备案和等级测评。在此基础上,企业需要履行持续的分级分类保护合规义务,如数据分级分类制度要求企业对不同等级和类别的数据履行相应的保护义务,网络安全等级保护体系要求企业制定网络安全事件应急预案,并定期进行演练。未能妥善履行数据分类分级和网络安全等级保护两类义务的企业均可能被处以责令改正、警告和高额罚款,而违反数据分类分级要求的还可能会面临停业整顿、吊销相应许可或营业执照的风险。
• 数据泄露的立即补救、告知与报告义务
《个人信息保护法》《数据安全法》和《网络安全法》均规定,数据泄露后,数据处理者应及时采取补救措施,按照规定及时通知相应用户并向主管部门履行报告义务。另一方面,为减轻数据处理者的负担,《个人信息保护法》规定,就个人信息的泄露、篡改、丢失,个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人。除了发生数据泄露后的补救、告知与应对,企业还应在日常运营中建立安全事件应急处置机制。
除这三部基础性法律外,各行业也着手制定相应的内部管理规章制度,进一步落实补救措施和报告义务的细则规范,如《非银行支付机构重大事项报告管理办法》规定,将泄露事件按照被泄露的客户信息数量分为一类事项和二类事项,要求在不同时限内通知所在地中国人民银行分支机构,并提交书面形式报告。
• 安全责任人制度和风险评估报告报送义务
为使数据保护义务真正落地,三法均要求设立相应的安全负责人或管理机构。对于从事关键信息基础设施运营者安全管理业务的负责人员,还需对其进行安全背景审查;对于处理个人信息达到国家网信部门规定数量的企业,还应公开个人信息保护负责人的姓名和联系方式,并报有关部门备案。
• 网络安全审查
2021年12月28日,国家网信办会同其他部门发布修订后的《网络安全审查办法》(“《办法》”)。相较于此前的版本,《办法》将网络安全审查的适用主体调整为关键信息基础设施运营者和网络平台运营者。《办法》还规定,核心数据、重要数据和大量个人信息是否存在泄露风险将成为重点评估的国家安全风险因素之一。[2]未能通过网络安全审查的,可能对相关企业的日常供应链采购、国外上市或其他数据处理活动造成不利影响。
二、数据泄露国内外案例解读
数据泄露事件已成为世界范围内亟待解决的问题,全球各国家及地区纷纷出台防范法规,对因未能履行数据合规义务导致数据泄露的企业或个人给予严厉处罚。在全球数据领域监管趋严的态势下,国内外因数据泄露受到严厉处罚的案例亦为企业敲响数据安全风险的警钟。
• 国内:打击数据泄露逐步成为执法热点重点,出现重大数据泄露事件的企业及其责任人可能面临大额罚款甚至承担刑事责任的风险。
2020年,某银行支行因侵害消费者个人信息依法得到保护的权利和违反反洗钱管理规定,泄露客户信息,受到警告及1223万元的高额罚款处罚,其行长和营业室员工也因此分别被处1.75万和3万元罚款。[3]无独有偶,国内某头部快递企业作为国内快递业巨头之一,因自身监管不善导致内部员工账号被随意租借使用,导致公司内部存储的物流快递信息被盗,并售往全国及东南亚等电信诈骗高发区,该案中被泄露的信息涉及发件人和收件人电话、姓名、地址等,信息数量实际超过40万条,涉案金额达120余万元,警方对此高度重视并已立案调查。其后,上海市网信办约谈该公司,责令要求其认真处理员工违法违纪事件,做到信息对称、及时公开、正面应对,加快建立快递运单数据的管理制度。[4]
• 国外:数据泄露也是全球各主要法域国家和地区重点关注的问题。欧盟《通用数据保护条例》(“GDPR”)作为全球范围内“标杆”式的数据保护高标准立法,也坚决打击数据泄露案件,对数据泄露责任主体屡屡开出巨额罚单,所涉行业往往是大型企业、科技巨头等。
2018年,英国航空客户数据泄露事件中黑客通过盗用登陆账号进入英航内网系统,篡改脚本代码后将英航客户信息传输到外部第三方网站,英国信息专员办公室(ICO)依据GDPR认定英航未能有效履行数据安全管理义务保护客户个人信息导致数据泄露事件发生,处以2000万英镑罚款。[5]同年,某连锁酒店集团客户数据泄露事件也吸引了大众目光。该连锁酒店集团旗下的某酒店客房预订系统发生了大规模数据泄露,来自31个国家的3.39亿的客户信息被窃取。经查,酒店的客户信息系统自2014年以来就存在技术和管理漏洞,ICO依据GDPR对该连锁酒店集团处以1.1亿欧元的巨额罚款。[6]
可以预见,在未来数据泄露仍将持续受到严格监管,从事大规模数量数据处理业务的企业更应引以为戒,如金融、物流、酒店、医疗、互联网等处理大量个人或工业数据的企业,更需要时刻注意防范数据泄露的风险,加强风控制度,做好事前合规,注重内部预防。
三、预防及应对数据泄露事件的合规建议
千里之堤,溃于蚁穴。建立完善的数据管理和保护体系,构筑防范数据泄露的第一道堤坝,防患于未然,是合规工作的重中之重。而出现问题时迅速地依法依规及时响应,则是企业在面临现实风险时候防止损失进一步扩大的应有之策。企业合规的整体有效性也是执法机构进行处罚时的重要参考。基于过往处理相关案件的经验,我们从组织架构、制度设计、技术防御、补救措施等方面整理了以下(事前)预防及(事中、事后)应对数据泄露事件的几点建议:
• 组织架构:构筑数据安全组织三级体系
安全组织三级体系由统筹机构(数据安全委员会)、执行机构(数据安全部)和支撑机构(各业务部门和职能部门)组成,数据合规官(DPO)或首席数据官(CDO)负责领导,法务团队和IT技术团队负责从法规解读与技术支持两个角度切入把关各业务部门的数据安全问题。
• 制度设计:搭建企业内部信息安全制度
标准参照:参照相应国家标准和行业标准,履行数据分类分级保护和网络安全等级保护义务,搭建内部信息安全制度。从事涉外业务的企业还应关注相应国际标准和外国数据保护规范,如ISO/IEC 27001国际标准与GDPR,注意不同法域监管制度的异同,制定一站式、全景式的解决方案。
• 技术防御:完善数据全生命周期保障措施
全生命周期合规:数据安全保护实践中,企业应当积极采取物理机房、加密算法、安全测试、网络防火墙、主机服务器等数据安全技术保障措施,在技术层面完善数据全生命周期合规措施,并对数据进行闭环管理,提升数据安全保护能力。
• 补救措施:制定风险事件应对响应方案
一旦发生数据泄露事件,企业也不可坐以待毙,应根据不同级别的数据泄露事件的响应流程和通报机制积极有序地采取补救措施,履行报告义务。
固基修道,履方致远。在国家大力发展数字经济产业的背景下,数据安全领域的一系列法律法规顺应时代需求在2021年陆续出台,从事数据处理业务的企业也应当积极承担相应的法律义务与社会责任,完善数据合规工作,预防数据泄露。当前许多国内外知名企业的数据泄露事件及其法律后果已在为各行业敲响警钟,在这样的新形势下,企业应当给予数据安全合规足够的重视,在技术措施和管理流程等层面积极开展数据合规建设工作,业务才能借数字经济繁荣之东风,在数据安全合规的框架内健康发展。
[注]