全部课程

法律

合规

医疗

详细内容

一、问题的引出

7月22日，Uber正式承认对隐藏2016年5700万乘客和司机数据泄露事件负责。据路透社报道，Uber与美国联邦贸易委员会（FTC）达成了一项不起诉协议。在签订的不起诉协议中，Uber 承认其工作人员未能向美国联邦贸易委员会报告2016年11月的黑客行为，尽管当时该机构正在调查这家网约车公司的数据安全性。旧金山的美国检察官斯蒂芬妮·海因兹（Stephanie Hinds）表示，在任命了新的执行领导层之后，Uber等了大约一年才报告违规行为。Uber在2017 年才首次披露了该数据泄露事件的细节，其没有向政府和用户分享它所知道的信息，而是向黑客支付了10万美元，让他们删除信息并保持沉默。

时隔6年，Uber才承认对当时的数据泄露事件负责，并竭力避免被起诉的后果发生。而在国内，近期最引人注目的数据泄露事件当属“学习通”的用户数据泄露事件。

在6月21日，有微博网友爆料称，大学生学习软件超星学习通的数据库信息疑似被公开售卖，其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。学习通随即针对“疑似学习通用户数据泄露”的传闻回应称，鉴于事情重大，已经向公安机关报案，公安机关已介入调查。

历年来，类似的数据泄露事件在国内外频繁发生，或大或小，且据不完全统计，截至 2021 年，数据泄露的全球平均总成本已高达424万美元[1]。实际上，数据泄露仅属于数据安全事件的一种，其他数据安全事件还有数据勒索、数据拦截、数据窃取等等，这类数据安全事件的发生都意味着高昂的处置成本。

那么什么是法律意义上的数据安全事件呢？

二、相关法规

我国《数据安全法》第二十九条规定：“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”

再看《个人信息保护法》，其规定得就更加细致，其第五十七条规定：“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。”

对比上述两部法律的规定，我们不难发现，《个人信息保护法》将“个人信息安全事件”的内涵界定得较为简单，仅包括“泄露、篡改、丢失”三种情形，而《数据安全法》对“数据安全事件”的内涵和外延则完全未作界定。

信安标委在2021年1月6日发布了《信息安全技术信息安全事件分类分级指南（征求意见稿）》，其中对数据攻击事件进行了细分，具体分为数据篡改、数据假冒、数据泄漏、数据窃取、数据拦截、数据丢失、数据错误、数据勒索等事件，具体指：

1、数据篡改（TWD）：是指未经授权接触或修改数据，例如服务请求数据篡改、服务响应数据篡改等等；

2、数据假冒（DC）：是指非法或未经许可使用、伪造系统数据，例如身份数据假冒、网页数据假冒等；

3、数据泄漏（DLE）：是指通过技术手段或恶意操作使得信息系统中的数据对外透露，例如社会工程、网络钓鱼等；

4、数据窃取（ToD）：是指未经授权利用技术手段恶意主动获取信息系统中的数据，例如窃听、间谍、位置检测等；

5、数据拦截（DIN）：是指在数据到达目标接收者之前捕获数据；

6、数据丢失（DLO）：是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的数据缺失；

7、数据错误（DE）：是指输入或处理数据时发生错误；

8、数据勒索（DB）：是指主动瞄准目标，通过劫持信息系统重要数据或个人敏感信息向目标勒索赎金，从而达到敲诈的目的；

9、其它数据攻击（ODA）：是指不能被包含在以上子类之中的数据攻击。

除了上述“数据攻击事件”外，《信息安全技术信息安全事件分类分级指南（征求意见稿）》还进一步列举了有害程序事件（如计算机病毒、蠕虫、木马）、网络攻击事件（如拒绝服务、APT）、有害内容事件（虚假信息内容、网络欺诈）、设备设施故障事件（如技术故障、基础设施故障）、违规操作事件（如权限伪造、误操作）、不可抗力事件、其他事件等其他7个分类，每个基本分类分别包括若干个子类。

参考上述指南，宜将“数据安全事件”作广义理解，将因人为故意或意外行为引起的，也可能是由某些控制失效或不可抗力等原因引起的数据泄漏、篡改、丢失、毁损、错误、被勒索等均归入安全事件范围。

三、相关案例

仅在2021年至今年上半年，诸多互联网企业就曾陷入数据泄露等数据安全事件的风波，其中不乏英伟达、三星、Meta（前身Facebook）等知名企业。

案例1：三星被公开源代码和机密数据[2]

2022年3月，继NVIDIA核心源代码75GB的机密数据和核心源代码被泄露后，Lapsus$勒索组织在2022年3月4日再次公开了韩国消费电子巨头三星电子150GB的机密数据和核心源代码。两次数据泄露事件之间的时间间隔还不足一周，令业界大为震动。Lapsus$勒索组织发布了一份报告，其中包含了三星电子大量的机密数据，以及三星软件中C/C++指令快照的内容。据悉，Lapsus$勒索组织将泄露的数据拆分为三个压缩文件，总计已经达到190GB，并且以非常受欢迎的torrent形式提供。Lapsus$ 勒索组织还表示接下来将上传至更多的服务，不断提高数据下载速度。

案例2：Meta因数据安全问题罚单不断[3]

2022年2月，美国加州地方法院何塞分庭宣布了结了一起Meta与4名Facebook用户长达十年数据隐私诉讼，这4名用户指控Facebook在他们退出社交媒体网站后，仍会追踪他们的网络活动，对用户隐私权构成侵犯。根据庭外和解协议，Meta最终同意支付9000万美元的赔偿金，并同意删除在用户不知情的情况下搜集到的所有数据。2022年3月，爱尔兰数据保护委员会再度对Meta开刀，认为Meta在多次大规模个人数据泄露事件中，未能证明其采取了适当的安全应对措施。

案例3：英伟达遭到黑客威胁，涉及1TB机密数据泄露[4]

根据南美黑客组织LAPSU$在2022年2月表示，他们在对正式攻击英伟达之前已经在内部系统潜伏了一周之久，也已经获取了1TB的机密数据，包括未发布的40系列显卡的设计蓝图、驱动、固件、各类机密文档、SDK开发包，并对所有数据进行了备份，其中还包括了7万名员工信息。

案例4：里约财政系统遭勒索攻击，420GB数据被盗[5]

2021年4月22日，巴西里约热内卢州财政部门系统遭到勒索软件攻击。随后勒索软件团伙LockBit宣称为此次事件负责。LockBit入侵了接入政府办公室的系统，并窃取到约420 GB数据。

案例5：美国出版业巨头Macmillan遭勒索软件攻击后关闭系统[6]

2021年6月25日，美国最大的图书出版商之一Macmillan遭遇勒索软件攻击，并波及英国分公司Pan Macmillan。最新消息显示，Macmillan已成功恢复内部邮件系统，员工已复工，不过专业人士认为，这次攻击不可避免会造成图书短暂出货延迟。

四、提示

面对如此高发的数据安全事件，企业在数据泄露或遭到数据勒索后，所采取的措施往往都较为消极，例如关闭系统等，不仅影响自身业务的进行，还有可能在后续受到监管部门的处罚。更有甚者，例如成立157年的美国老牌高校林肯学院，由于新冠疫情和持续遭受的勒索软件攻击对其财务造成了残酷的打击，学院决定将永久关闭[7]。

因此，在数据安全事件发生后，企业应及时履行相关的报告义务或通知义务，并及时对系统漏洞进行处置。同时，为更好地应对和预防数据安全事件的发生，企业还应预先制定相关应急处置预案，重视企业数据安全。具体内容我们将会在下篇中进行讲解。

[1]《2021年数据泄露成本报告》（IBM Security）：数据泄露成本逐年大幅增加，从 2020 年报告中的 386 万美元增加到 2021 年报告中的 424 万美元。

[2] https://zhuanlan.zhihu.com/p/541252473

[3] https://zhuanlan.zhihu.com/p/541252473

[4] https://zhuanlan.zhihu.com/p/541252473

[5] https://www.aqniu.com/vendor/85677.html

[6] https://www.aqniu.com/vendor/85677.html

[7] https://www.aqniu.com/vendor/85677.html

五、企业如何正确应对数据安全事件

随着数字经济的蓬勃发展，越来越多的企业将数据视为重要资产。同时，由于企业互联网化进程的不断深入，越来越多的业务被迁移到互联网上，大量的应用数据被产生、传输、公开、共享，应用敞口风险和链条管控难度也随之加大，故而，相关数据安全事件的发生频率也日益增多。

对于企业来说，在建立相关概念后，更重要的是如何正确应对数据安全事件，包括事前的安全事件应急处置预案的制定，以及履行相关的报告、通知义务等。

六、相关法规

关于制定安全事件应急预案，《个人信息保护法》在第五十一条中要求：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，制定并组织实施个人信息安全事件应急预案。在实践中，企业则可以参照《网络安全事件应急演练指南》（GB/T 38645-2020）、《银行保险机构应对突发事件金融服务管理办法》以及《上海市网络安全事件应急预案》等相关国家标准、法规，来建立适合自身的个人信息安全事件的应急处置预案。

在发生数据安全事件时，企业负有向政府部门报告、向用户通知的义务，该义务在《数据安全法》和《个人信息保护法》中都有规定。《数据安全法》在第二十九条中规定，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。而在《个人信息保护法》中，对于报告/通知义务触发的规定则比《数据安全法》更为严格。《个人信息保护法》第五十七条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

在网信办2021年公布的《网络数据安全管理条例（征求意见稿）》中，则对数据处理者应建立的数据安全应急处理机制进行了更详细的规定：

第十一条数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当履行以下义务：

（一）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等；

（二）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

七、相关案例

历年来，全球范围内不乏一些知名企业由于发生了数据安全事件而被处罚的案例。

案例1：英国航空公司数据泄露事件[1]

2018年6月起英国航空公司网站发生了数据泄露事件，9月英航向英国信息专员办公室（ICO）通报该数据泄露事件。该事件导致约50万名英航乘客的个人信息被泄露。在该事件中，用户流量被移转到虚假网站，攻击者通过这个虚假网站收集了客户详细信息，包括客户个人信息和银行卡信息，如姓名、地址、邮箱，以及信用卡的号码、有效期和背面的验证码（CVV）等。事件爆发后，英航配合ICO调查并对安全系统进行整改，英航因缺乏保障信息安全的技术和组织措施，被ICO处以2000万英镑罚款。

案例2：万豪国际数据泄露事件[2]

2018年11月，万豪国际集团公开披露其旗下喜达屋酒店客房预订系统数据泄露事件，该事件导致3.39亿酒店客户信息被黑客窃取，涉及到3000万来自31个欧洲经济区（EEA）国家的居民，其中包括700万英国居民。万豪国际在2016年9月收购了喜达屋酒店。据英国ICO调查，喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014年7月起便存在，直到2018年才发现此漏洞。针对此次事件，ICO于2019年7月9日依据GDPR第32条对万豪国际作出1.6亿欧元罚款。

案例3：爱尔兰监管机构因数据泄露对Meta处以1900万美元罚款[3]

2022年3月15日，爱尔兰数据保护委员会（DPC）在Meta处以约1860万美元的罚款。DPC称，Meta未能采取适当的技术和措施，在2018年6月7日12月4日的6个月期间发生了12次数据泄露，违反了GDPR。Meta表示这项罚款涉及到其自2018年以来更新的记录保存方式，而非未能保护用户信息。此前，爱尔兰监管机构此前曾在2021年9月因违反透明度义务对WhatsApp处以约2.67亿美元的罚款。

案例4：农业银行因数据泄露等被罚420万[4]

根据银保监会官网于2021年1月29日发布的“银保监罚决字〔2021〕1号”处罚信息表显示，中国农业银行被罚款420万元，处罚事由涉及数据安全管理较粗放、互联网门户网站泄露敏感信息等6项问题。农行具体涉及的违法违规行为包括：（一）发生重要信息系统突发事件未报告；（二）制卡数据违规明文留存；（三）生产网络、分行无线互联网络保护不当；（四）数据安全管理较粗放，存在数据泄露风险；（五）网络信息系统存在较多漏洞；（六）互联网门户网站泄露敏感信息。

而关于企业应如何判断自己面临“可能发生”个人信息安全事件，而需要履行报告义务的问题，我们试举几例场景以作辨析：

例1：某医院关于病人的一些重要医疗数据，在短期内因医院的设备设施故障导致不可访问。这时医疗数据并未泄露、篡改或真正“丢失”，而且在较短的时间内（如几小时）即恢复正常。

在该场景下，虽然医疗数据并未泄露、篡改或真正“丢失”，而且在较短的时间内（如几小时）即恢复正常，但这种事件可能造成的风险却是极高的，因为它可能给个人的生命和自由造成损害，譬如一台手术可能因此失败或无法开展从而影响病人的健康，因此从医院意识到故障发生时就应当触发了报告义务。

例2：一家制造公司的计算机系统受到勒索软件攻击，其数据被攻击者加密，但该公司已使用了最先进的加密技术，因此勒索软件访问的所有数据都是加密数据，解密密钥再攻击中并没有泄露。在分析了日志和其他监测系统收集的数据后确定，攻击者只是对数据进行了加密，而没有将数据外流，受攻击影响的数据与公司的员工和客户有关，备份是现成的，在攻击发生后几个小时就恢复了。

在该场景下，由于勒索软件攻击没有对公司日常运营造成影响，因此没有必要触发报告义务。

我们注意到，对于个人信息安全事件，处理者在其采取的措施“能否有效避免信息泄露、篡改、丢失造成危害”时，则可以免于向用户发送通知的例外情形。因此，处理者需要切实判断其采取的措施是否能达到上述《个人信息保护法》第五十七条第二款的规定。我们同样试着模拟一些场景以作辨析：

例1：一家银行的其中一个网上银行网站遭到了网络攻击，由于该网站存在漏洞，在某些情况下，有关信息（姓名、性别、出生日期、出生地址、财务代码、用户识别码）可能泄露给了攻击者。这影响了大约10万个数据对象，其中，攻击者通过尝试成功登录了大约2000个账号。事后，银行能够识别所有非法登录尝试并可以确认，根据反欺诈检查，这些账户在攻击期间没有执行任何交易。

在该场景中，虽然银行及时采取了措施，且事后还纠正了网站的漏洞，例如在网站尚增加了双因素认证，以防止今后类似的数据泄露事件，但这次数据泄露事件涉及的个人众多，涉及的数据不仅仅是身份信息，因此特别严重，不仅需要报告政府部门，还应通知所有可能受到影响的10万个自然人，也有利于个人能够采取必要的步骤。

例2：黑客利用SQL注册漏洞非法访问了某烹饪网站服务器的数据库。该网站的用户只能选择任意假名作为注册用户名，不鼓励为注册网站的目的使用电子邮箱地址。存储在数据可中的数据用一个强大的散列算法进行加密，因此直接受影响的数据是1200个用户的散列密码。

在该场景中，由于数据库中数据是用强大的散列算法加密的，因此降低了个人信息的性质、敏感性和数量方面的风险，此外，个人的联系信息没有被泄露，这意味着个人不存在被欺诈目标的重大风险，此时通知个人不是强制性的。但是，对于密码泄露，仍然建议告知个人，因为个人也能够采取必要的步骤，例如更改密码，以避免泄露行为造成进一步的伤害。

八、小结

数据安全是互联网以及数据企业的核心发展问题。企业除了在内部建立全流程的数据安全治理制度以外，例如制定数据安全事件应急预案、落实数据安全管理技术和措施、切实提高员工的数据安全意识等，还应重视来自外部的数据安全风险。根据威瑞森《2021年数据泄露调查报告》的数据可知，80%的数据泄露来自外部，这也是应用数据安全治理的不容忽视的一点。

在万物互联的当下，企业都积极迎上数字经济发展的风口。但在大力发展数字经济的同时，企业更应重视数据安全，积极预防和处置各类可能发生的数据安全事件。

[1]https://baijiahao.baidu.com/s?id=1681220269089020386&wfr=spider&for=pc

[2]https://baijiahao.baidu.com/s?id=1682337254651428081&wfr=spider&for=pc

[3]https://www.cyberscoop.com/facebook-meta-gdpr-ireland/

[4]http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=963387&itemId=4113&generaltype=9

来源：金茂法律评论

作者：金茂律师事务所万波律师王书玥律师助理

评论列表(0)

暂无提问

案例分析 | 从Uber承认掩盖2016年数据泄漏看数据安全事件处置

详细内容

来源：金茂法律评论

发表提问取消回复

案例分析 | 从Uber承认掩盖2016年数据泄漏看数据安全事件处置

详细内容

来源：金茂法律评论

发表提问 取消回复

发表提问取消回复