所谓泄露通知,是指在数据(尤其是个人数据)发生或者可能发生泄露或者未经授权访问等情形,实际或者可能对数据安全造成威胁的情形下,数据控制者应当以适当形式及时通知主管机构及当事用户,让各方尽快了解数据泄露情况并采取相应的保护措施。数据泄露通知是数据安全保护制度的重要组成部分,是在发生数据泄露或具有数据泄露风险时,及时通知和采取补救措施的重要环节。近年来,作为强化数据保护的有效制度手段,数据泄露通知制度被各国立法广泛采用。

一、数据泄露成为当前数据保护面临的主要问题

在全球数字经济快速发展的大背景下,数据已经成为国家基础性战略资源和企业的重要资产,在促进经济发展、激发产业创新、提高人民生活水平等方面发挥了重要作用。但与此同时,由于管理不善、黑客攻击、系统安全漏洞等原因,数据也一直面临着被泄露的潜在安全风险。近年来,数据泄露事件频繁发生,且数量逐年增加。安全分析机构Risk Based Security(RBS)2017年发布的年中报告显示,仅2017年上半年,全球共计发生数据泄露事件2227起,黑客从中窃取记录超过60亿条。其中,“百万级”数据泄露事件超过50起,远超去年同期的28起。大型互联网公司数据泄露问题更加严重。根据路透社等媒体报道,雅虎公司网站曾于2013年到2016年期间遭遇了三次大规模的黑客入侵事件,2017年10月雅虎承认黑客入侵事件影响到了所有雅虎账户,这意味着近30亿雅虎用户账户无一幸免,自然也成了为史上最大规模信息泄露事件。

随着人工智能、大数据等新业态新模式的发展,大规模的机器自动化地收集着成千上万的用户数据,特别是在新兴领域,聚集了大量的数据资源。这些数据涉及个人姓名、性别、电话号码、电子邮箱、地理位置、家庭住址在内的方方面面,一旦发生数据泄露,再被网络诈骗等犯罪分子所利用,将给公民人身和财产安全带来不可估量的损失。数据泄露问题成为当前国际社会数据保护面临的主要问题之一。面对越来越严峻的数据泄露形势,为了最小化数据泄露带来的损失,数据泄露通知制度被各国立法广泛引入,并在实践中不断完善。我国《网络安全法》也顺应国际立法趋势,对数据泄露通知做了相关规定。

二、国际数据泄露通知制度立法实践

泄露通知制度为美国隐私保护立法首创,近年来被各国数据保护立法广泛采纳。泄露通知制度最早在美国州立法中被提出,2002年美国加尼福利亚州制定了第一部数据泄露通知法案—《加州数据安全泄露通知法案》(California data security breach notification law)。在2011年之前,该制度主要适用于线下消费者个人数据保护领域,但是随着云计算、大数据等信息通信技术的发展引发的公众对数据安全的担忧,特别是受到2011年索尼、亚马逊和Epsilon的云计算数据泄露事件的刺激,数据泄露通知制度被引入线上数据保护领域,再次受到各方广泛关注。目前,美国除了阿拉巴马州和南达科他州之外的48个州都已经建立了数据泄露通知制度。

在美国立法的影响下,欧盟、澳大利亚等国家和地区也纷纷引入该项制度。欧盟2011年修订《电子通信行业隐私保护指令》(即2009/136/EC指令)时引入了数据泄露通知制度,规定了欧盟层面公共电子通信服务提供者数据泄露通知的义务,要求一旦发生安全侵害事件或者个人数据丢失或被盗,运营商应当及时向数据保护机构和用户报告。随后一些欧盟成员也制定了其国内的数据泄露通知制度。2013年欧委会制定了更加详细具体的执行规则—《个人信息泄露通知条例》(即第611/2013号条例)。欧盟2016年通过的《个人数据保护通用条例》(即GDPR),进一步从立法上确立了数据泄露通知制度,将数据泄露通知制度适用范围扩展到所有数据控制者。此外,2017年2月澳大利亚正式通过了《数据泄露通知法案》,明确了数据泄露通知制度适用主体、评估流程、通知对象等内容。

从国际社会关于泄露通知制度的规定来看,其主要内容包括以下几个方面:一是明确规定了数据泄露通知义务适用的主体。例如,加州规定,所有有权处理个人数据的个人、企业、机构都应承担个人数据泄露通知义务;欧盟GDPR规定承担数据泄露通知义务的主体为主要为数据控制者,数据处理者发现数据泄露情形应当及时告知数据控制者。二是规定了引发泄露通知的事件,即泄露通知制度的启动机制。例如GDPR规定,当数据泄露会侵害自然人的权益时,数据控制者应当告知数据保护监管部门;当数据泄露会导致数据主体权益处于高风险状态时,数据控制者应当告知数据主体。三是规定了数据泄露严重程度评估。在相关主体对数据泄露情况发表声明时,往往需要评估数据泄露的严重程度。例如,欧盟《个人信息泄露通知条例》中对通知用户的条件进行了规定,包括泄露的数据类型(如是否包括金融数据、个人敏感数据等),数据泄露是否会导致用户身份被盗、精神或财产损害等。四是规定泄露通知的形式和程序。例如,美国加州立法规定,相关个人或组织应当发现数据泄露后立即告知被侵害人。数据泄露通知应当采用平实的语言,通过书面或电子的方式进行通知。五是对通知的内容进行要求。例如,欧盟GDPR中规定,个人数据泄露通知应当包括下列要素:数据泄露事件的相关特征、数据保护专员信息、可能造成后果、数据控制者采取或可能采取的措施。六是对未履行泄露通知义务的处罚。例如,美国部分州规定个人可以就未实施通知造成损害的提起诉讼赔偿,或者直接依据该州的消费者保护相关法律向泄露方提出损害赔偿。欧盟GDPR中仅笼统规定了个人可以数据控制者、处理者违反GDPR的规定而导致其遭受物质或精神损害为由,要求获得赔偿。

三、我国数据泄露通知制度立法现状

数据泄露通知在我国立法语境下也叫作信息泄露通知,在下文的表述中二者意思相同。我国在2012年全国人大常委会通过的《关于加强网络信息保护的决定》(简称《人大决定》)中首次从法律层面对信息泄露进行了规定,其第四条规定“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”但是《人大决定》并没有规定信息泄露后的通知要求。2013年《消费者权益保护法》修改时新增第二十九条,其第二款将《人大决定》的信息泄露内容纳入到了法律之中,但也没有作进一步的规定。

2013年6月,工业和信息化部发布《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号,简称工信部24号令),其第十四条对信息泄露通知制度作了较为详细的规定,要求电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。工信部24号令第一次对信息泄露通知作了较为完整的规定,但作为部门规章,其适用的范围和产生的影响力都比较有限,实践中执法效果也不显著。

2016年11月,全国人大常委会通过《网络安全法》,并于2017年6月1日正式实施。《网络安全法》在《人大决定》和工信部24号的基础进一步对信息泄露通知制度进行了完善。其第四十二条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

《网络安全法》中规定的信息泄露通知制度,其核心内容包括两个方面,即采取安全补救措施和通知报告,这也是网络安全法对网络运营者规定的两项义务。需要注意的是,我国《网络安全法》中的泄露通知制度,不仅包括个人信息泄露的情况,还包含了个人信息毁损、丢失的情况,是一个内容相对宽泛的制度。从泄露通知制度的要素来看,主要包含以下内容:制度适用的主体范围、泄露通知制度的触发、安全风险补救、通知和报告、罚则、实施机构等。

根据《网络安全法》第四十二条之规定,泄露通知制度的适用主体范围是“网络运营者”。对于何为网络运营者,《网络安全法》也在附则部分进行了定义,是指包括网络的所有者、管理者和网络服务提供者。根据全国人大法工委在《中华人民共和国网络安全法释义》中的解释,在《网络安全法》制定之前,更多的是使用“网络服务提供者”的概念,它包括网络接入服务提供者(ISP)和网络内容服务提供者(ICP)两类。由于网络安全法规定的网络除互联网外还包括局域网和工业控制系统,他们很多不向社会提供商业服务或公共服务,但其所有者和控制着也必须承担相应的安全义务,防范网络安全风险,保障网络安全稳定运行。因此,《网络安全法》在这里对泄露通知责任主体即网络运营者做了一个比较广泛的界定。

泄露通知制度的触发也即网络运营者安全补救措施和通知义务的触发。根据《网络安全法》的规定,该制度的触发时间节点是在“发生或可能发生个人信息泄露、毁损、丢失的情况时”,这里面包含了两层意思:一是该制度的内容不仅限于个人信息泄露的情况,还包含了个人信息的毁损、丢失,这三种情况都属于个人信息安全风险;二是该制度不仅是在个人信息安全风险发生时启动,只要存在安全风险威胁,即可能发生个人信息泄露、毁损、丢失的情况,也会触动泄露通知制度。

触动泄露通知制度后,网络运营中的首要义务是立即采取补救措施进行有效处置,以防止安全事件发生和损害扩大化。这里的补救措施应该包括物理的、技术的以及管理的措施。补救措施的立法渊源来自于2012年《人大决定》第四条的规定,《人大决定》的要求在其后相关立法的规定中得到了继承。

在立即采取补救措施后,网络运营者还应当按照规定及时告知用户并向有关主管部门报告,即报告义务。与《人大决定》相比,《网络安全法》增加了网络运营者的报告义务。这里的报告对象包括两个,即用户和相关主管部门。既要求网络运营者向相关主管部门报告,也要求其向用户告知数据泄露、毁损、丢失的情况。《人大决定》中没有报告义务的规定,工信部24号令要求的“造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告”。通过对比可以看到,《网络安全法》的规定尊重了用户的知情权,极大提升了对个人信息权益的保护。对于报告的时间,《网络安全法》第四十二条没有做具体的规定,采取了“按照规定及时”告知的表述,而24号令中采取的是“立即”告知的表述。

泄露通知是网络运营者的义务,《网络安全法》对违反或不履行本义务也规定了相应的罚则。根据第六十四条,违反泄露通知之规定,由主管部门责令改正,同时可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。而对于情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。根据全国人大法工委在《中华人民共和国网络安全法释义》中的解释,这里的情节严重包括多次实施上述违法行为,违法收集使用用户个人信息数量众多,经主管部门责令仍拒不改正等情形。

最后,对于泄露通知制度实施机构的问题,《网络安全法》第四十二条指出,应当按照规定向有关主管部门报告。结合《网络安全法》第八条一起理解,这里的有关部门应该与第八条网络安全监督管理体制是一致的,即:国家网信部门负责统筹协调网络安全工作和相关监督管理工作;国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作;县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。

四、结语

虽然《网络安全法》在《人大决定》、工信部24号令的基础上进一步强化和完善了信息泄露通知制度的相关要求,但对于哪些情形需要向用户告知,哪些情形需要向有关部门报告,以及在什么时限内、采取什么方式向用户告知、向有关部门报告等具体问题,《网络安全法》本身并没有给出具体的答案。当前的实践中,在用户的账号存在安全风险的情况下,互联网企业普遍采用风险提示的方式,提示用户进行验证、修改密码的操作,一定程度上减少了信息泄露带来的风险。未来,需要通过《个人信息保护法》或者相关立法作进一步的规定,配套以信息泄露通知标准或指南进行细化完善。对需要报告政府和通知用户的情形进行合理区分,明确报告通知的时限和方式,提高信息泄露通知制度的可操作性,切实加强数据安全保护。

(本文刊登于《中国信息安全》杂志2017年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。