■ 中国信息通信研究院 赵淑钰 伦一
数据泄露是当前网络安全的最主要威胁之一。近年来,个人数据泄露呈现泄露事件逐年增多、危害范围增大的趋势。由于数据泄露渠道多样,如黑客攻击、系统漏洞以及内部管理人员的不法操作等,难以从源头上消除。为加强数据泄露管理、切实维护用户权益、及时制止数据泄露的损害扩大,一些国家相继在立法中确立了“数据泄露通知制度”,其中的经验值得借鉴。
一、“数据泄露通知制度”已经确立但不完善
“数据泄露通知制度”是指负有数据安全保护义务的主体在发生个人信息泄露事件时,在规定的时间内以适当形式,通知主管机构及用户的制度。目前,美国、欧盟、澳大利亚等国家和地区均已在立法中对“数据泄露通知制度”予以明确规定。我国在《网络安全法》等法律法规中也已经确立了“数据泄露通知制度”,明确了网络运营者的数据泄露通知义务,但是对数据泄露通知义务的通知对象、通知时间、通知内容等具体的制度要件规定尚不明确。因此,我国需要构建覆盖全流程、多环节的数据泄露通知制度,加快形成多方参与、共同监督、及时处置的保障机制。
二、“数据泄露通知制度”的国际立法经验
美国、欧盟、澳大利亚、英国、韩国、新加坡等国家和地区,已经在立法中对“数据泄露通知”进行了规定,尤其聚焦个人信息泄露。结合最具代表性的美国加州2002年颁布的《安全泄露通知法案》、欧盟《一般数据保护条例》(GDPR)、澳大利亚《1988年隐私法》中相关数据泄露通知制度规定,目前的“数据泄露通知制度”主要包括六个要素:
(一)数据泄露通知的主体
各国立法基本明确,所有承担数据保护义务的主体都应履行数据泄露通知义务。美国加州规定,所有有权处理个人数据的个人、企业、机构都是数据泄露通知义务主体。欧盟规定,所有数据控制者都应承担数据泄露通知的义务。澳大利亚“隐私法”中涉及的隐私保护主体都是数据泄露通知义务主体。
(二)数据泄露通知的对象
关于通知对象,国外立法区分了通知主管部门和用户两种情形。美国加州规定,数据泄露涉及的被害人数超过500人时应当通知政府主管部门(司法部)。欧盟规定,当数据泄露会侵害自然人的权益时,应当告知数据保护监管部门;当数据泄露会导致数据主体权益处于高风险时,应当告知数据主体。对电信业务经营者则规定,所有涉及个人数据泄露的事件都应告知主管部门;当数据泄露会对用户的个人数据或隐私造成侵害时应告知用户。澳大利亚规定,在发生数据泄露时,应告知可能遭到侵害的所有人以及数据管理执法机构。
(三)触发数据泄露通知的条件
关于能够触发数据泄露通知的条件,国外的立法对具体评估指标,包括触发数据泄露通知的情形等,都有具体规定。美国加州规定,只有在特定的“个人信息”发生泄露时才启动数据泄露通知,包括姓名、社会保险号、驾照号、身份证号、信用卡账号、医疗信息、健康信息、用户名或邮箱地址等。欧盟规定,电信业务经营者的数据泄露通知,应考虑三方面因素,即泄露的数据类型(如是否包括金融数据、个人敏感数据、位置数据、网络日志、通话详单等);是否会导致用户精神、财产损害;数据是否被盗窃或被未经授权的第三方占有。澳大利亚规定,数据泄露通知应考虑多方面因素,包括信息的类型、信息的敏感性、信息是否得到安全保护、能够获得信息的人员和类型、个人信息匿名化技术、损害的性质等。
(四)数据泄露通知的程序
在通知的程序上,国外立法重点对通知的形式、时间、流程要求明确。美国加州规定,数据泄露通知义务人在发现数据泄露后,应采用简单易懂的语言立即告知被侵害人。欧盟规定,数据泄露通知义务人应及时告知所涉及的用户主体,一般数据控制者应在发现数据泄露72小时内报告数据保护监管部门,电信业务经营者应在24小时内报告主管部门。澳大利亚规定,相关义务主体应在符合条件的数据泄露可能发生30日内完成数据泄露可能性评估,并提交声明。
(五)数据泄露通知的内容
国外立法明确规定,通知内容应包括联络方式、泄露事件基本情况、可能造成的后果、及时补救措施等。美国加州规定,泄露通知应包括:通知机构的名称和联络方式;泄露的个人信息清单;数据泄露发生的时间;通知是否因执法活动延迟;泄露事件的大概描述;已经采取的保护措施;建议被侵害者采取的保护措施。欧盟规定,一般的个人数据泄露通知应包括:数据泄露事件的相关特征、数据保护专员信息、可能造成后果、数据控制者采取或可能采取的措施。澳大利亚规定,数据泄露声明应包括相关个人应采取的补救措施建议。
(六)违反数据泄露通知要求的处罚
在违法处罚方面,国外立法针对未依法履行数据通知义务的主体明确规定了处罚措施。美国部分州规定,个人可以向未履行通知义务造成损害的责任主体提起诉讼赔偿,或者直接依据该州的消费者保护相关法律向泄露方提出损害赔偿。根据各州的规定,有些处罚按照损害人群统计(民事处罚从500美金到50000美金不等),有些按照泄露次数统计(泄露一次2500美金),有些则按照泄露时间计算(每天最高1000美金),震慑作用较为明显。欧盟规定,未履行数据通知义务的企业将会面临一千万欧元或全球年营业额2%以上的处罚。
三、对完善我国数据泄露通知制度的启示
近年来,我国加快数据泄露通知的立法步伐,已经初步形成与欧美类似的法律规制框架。我国《网络安全法》第三十一条、《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《电话用户真实身份信息登记规定》以及《关于银行业金融机构做好个人金融信息保护工作的通知》等法律文件,都明确了数据泄露通知制度。而且,我国制度设计的基本思路与美欧等发达国家也基本相同:数据泄露通知是基于个人信息泄露做出的;数据泄露通知义务承担主体为网络运营者;网络运营者应在数据泄露发生后及时告知涉及的用户,并立即采取补救措施;网络运营者在造成或可能造成严重后果时应向有关主管部门报告。
在实践中,数据泄露通知制度的落地实施还存在立法空白。在发生数据泄露时,主要做法是网络运营者自行补救,防止泄露扩大,却鲜有及时通知主管部门和用户的情形。我国可以借鉴国外的立法经验,结合我国发展情况,进一步完善我国数据泄露通知制度内容,保障《网络安全法》的实施。同时,在发生数据泄露事件时,相关管理部门(如工信部等)能够依据已有规定迅速回应,最大限度减少数据泄露带来的影响和损失。
我国相关立法应考虑进一步明确在发生或可能发生数据泄露时网络运营者应采取补救措施的具体内容,触发数据泄露通知的条件,告知用户和主管部门的时限、内容、形式,以及未履行数据泄露通知义务应当承担的法律责任。同时,对评估数据泄露严重程度的具体指标进行合理规定,增强制度的可操作性。在《个人信息保护法》起草过程中,也应当考虑引入数据泄露通知制度的基本要素。
此外,还应进一步加强对电信、互联网领域的数据泄露通知管理。电信、互联网领域具有用户数量大、涉及敏感数据多的特征,用户个人数据一旦发生泄露,相较于其他行业会产生更严重的后果。我国可考虑借鉴欧盟立法经验,对电信、互联网行业领域的数据泄露通知制度进行专门规定,进一步强化相关企业的责任意识,落实数据泄露通知义务。
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
