数据泄露就像一颗隐藏的定时炸弹,企业早晚都会遇到。它可能来自外部的黑客攻击,也可能来自内部的员工外泄。数据泄露不仅会对客户和企业自身带来严重的负面影响,还可能招致监管机构开出的巨额罚单。英国航空公司在不久前就不幸中招。
01
案件介绍
2019年7月8日,英国信息监管局(Information Commissioner’s Office,以下简称“ICO”)因英国航空公司(以下简称“英航”)违反欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)将对其罚款2.3亿美元,是自2018年5月GDPR生效以来欧盟数据监管机构开出的最高额罚单。
据ICO公告,2018年9月英航发生网络安全事件,导致约50万名客户的个人数据泄露,其中包括客户姓名、地址、信用卡信息(包括信用卡号、有效期、CVV码)以及详细订票信息等。某调查机构称,此次数据泄露是因为黑客在英航官网和App上置入了恶意代码,将客户引流至诈骗网站,由此爬取了客户的个人数据。根据GDPR第32条,企业应当考虑技术发展水平、实施成本、数据处理的性质、范围、内容和目的以及对自然人权利与自由带来风险的可能性与严重性等因素,采取与风险程度相适应的技术和组织措施以确保数据安全。GDPR第83条规定了行政处罚的条件,数据监管机构在决定是否施以罚款以及罚款金额时应当考虑违法的性质、严重性与持续时间、基于故意还是过失、企业为减少数据主体损失而采取的行动、与监管机构的合作程度、监管机构获知违法行为的方式等因素,而罚款金额最高可达2000万欧元或企业上一年度全球营业收入的4%,两者取其高。ICO调查发现英航的数据安全措施很不充分,但其在事件发生后配合了ICO的调查并就数据安全采取了整改措施,ICO拟施加的2.3亿美元罚款达到了英航上一年度全球营业收入的1.5%。企业应当认识到将数据泄露等安全事件发生概率降低至零是不现实的,但是,在前期做好安全保护工作以及在安全事件发生后的合理应对,不仅可以降低数据泄露的风险以及对数据主体和企业自身的负面影响,还可以成为监管机构降低罚款金额的重要考虑因素。
02
企业的数据安全义务
GDPR对于数据处理安全的要求主要体现在第32条,数据控制者和数据处理者应当根据风险程度采取适当的技术和组织措施。评估风险程度应考虑数据意外或非法损毁、丢失、篡改以及未经授权披露、访问、传输、储存等风险。GDPR列举的技术和组织措施则包括了假名化与匿名化、确保数据的保密性、完整性、可用性、恢复力的能力、确保在发生安全事件时能及时恢复访问和数据可用性的能力以及定期检测、评估采取的技术和组织措施的有效性等。
中国《网络安全法》(以下简称“《网安法》”)关于网络运营者和关键信息基础设施运营者的网络安全保护义务主要体现在第21、25和34条。网络运营者应当根据国家网络安全等级保护制度履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,采取防范入侵的技术措施,采取数据分类、重要数据备份和加密等措施,还应该当制定网络安全事件应急预案。《网安法》对关键信息基础设施运营者提出了更高的要求,其应当设置安全管理相关负责人和关键岗位人员并进行安全背景审查,定期教育、培训、考核,对重要系统和数据库进行容灾备份,还应当定期演练网络安全事件应急预案。 根据GDPR和《网安法》的要求,企业履行数据和网络安全保障责任可以重点关注如下几个方面:1. 建立基本数据安全能力企业首先应当从所收集、存储、使用的数据角度出发,考量涉及个人信息的敏感性和保密性以及一旦泄露对个人信息主体可能造成的影响与损害,评估存在的安全风险。根据安全风险评估,在组织措施方面企业应当制定信息安全与数据保护相关内部政策和流程,任命网络安全负责人,确定相关团队应承担的安全职责。在技术措施方面,企业应当做好访问控制、防火墙建设、数据分类、数据备份、剩余信息保护等,并建立安全事件识别和防御的能力。企业还应当定期检查实施的组织和技术措施,根据技术和行业等的发展情况适时更新与调整。2. 制定网络安全事件应急预案 针对系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险,以及数据泄露、数据未经授权访问等安全事件,企业应当制定应急预案,以在发生安全事件时立即启动,并及时采取补救措施。应急预案应当尽量覆盖可能发生的安全事件,制定适当的应对方案,包括内部上报机制、原因调查、补救措施、数据恢复、影响分析、上报监管机构、通知受影响的个人信息主体等内容。企业可以通过内部员工或团队或聘请外部专家来建设应对安全事件的能力。3. 应急演练与员工培训 在制定应急预案之后,企业还应当定期进行应急演练,以确保在真实的数据安全事件发生时可以有条不紊地应对,同时试验应急预案的可用性。应急演练是安全能力长期建设中的重要环节,不应流于形式,演练的颗粒度应细化至起草上报监管机构和通知受影响的个人信息主体的文本内容的程度。除了一般性的信息安全意识培训外,还应当培训员工如何识别、上报、管理和解决数据泄露等安全事件,确保员工知晓如何发现以及在发现后如何处理此类事件。4. 确认第三方供应商的数据安全能力 由于多数企业均会使用外部供应商提供数据处理等服务,企业的数据安全义务也应当延伸到使用的第三方供应商上。企业可以要求供应商提供数据安全能力证明(例如ISO27001),通过在与第三方供应商和数据处理者的书面协议中加入强制性的数据保护条款,要求定期对第三方的安全措施和能力进行审计,以确保第三方供应商具有必需的数据安全能力。
03
数据安全事件应对措施
GDPR第33和34条规定了在发生个人数据泄露的情形时,数据控制者的报告和通知义务。除非个人数据泄露不太可能会对自然人的权利和自由造成风险,数据控制者应当在发现数据泄露的72小时内将个人数据泄露的情况报告监管机构。如果数据泄露可能对自然人的权利和自由产生较高风险,数据控制者还应当立即将个人数据泄露的事实告知数据主体。
同样的,《网安法》也在第22和25条规定了网络运营者的通知义务和补救义务。网络运营者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;在发生危害网络安全的事件时,应立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。此外,《网安法》第21条还要求网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。根据GDPR和《网安法》的要求,企业在安全事件发生后应注意采取如下应对措施:1. 调查起因,评估影响与风险,采取补救措施在发现安全事件后,企业应按照应急预案部署事件处理团队,立即调查数据泄露的原因,识别涉及的数据类型和数量以及数据的敏感程度,确定受影响的个人信息主体的范围,分析所涉数据是否已加密、防控措施是否有效抵御了攻击等,据此评估对个人信息主体的权利和自由的影响程度以及其他可能造成的后果。同时,企业应当立即保护网络系统,修复可能造成数据泄露的漏洞,并防止数据进一步泄露,例如封锁环境、限制访问、监控出入点、关闭受影响的设备、更改秘钥等。在此过程中,企业可以聘请外部法律和技术团队协助电子数据取证并留存证据,以备后续可能发生的调查和争议。2. 上报监管机构,通知受影响的个人信息主体 根据对安全事件的影响与风险的评估以及相关法律法规要求,确定企业是否需要上报监管机构、是否需要通知受影响的个人信息主体。如有必要,企业应迅速确定如下内容:(1)此次安全事件是否受域外法律管辖,且所涉域外法律是否有特殊规定;(2)上报哪个/哪些监管机构,是否包括域外的监管机构;(3)需要通知的数据主体的范围以及通知的方式;(4)上报的内容以及通知的内容。在确定上述内容后,及时根据相关法律法规要求进行上报和通知。3. 做好安全事件记录 无论安全事件是否需要上报监管机关或通知受影响的自然人,企业都应当做好安全事件的记录。如果企业根据评估决定不上报和通知,企业应当记录评估的分析过程与结果。企业还应当留存安全事件有关的事实、事件起因、相关影响以及采取的补救措施的相关记录,且相关网络日志至少要留存六个月的时间。这不仅是法律法规的要求,在监管机构介入并可能定性和判罚时,也将成为判罚的重要参考依据。
04
结语
就在英航收到罚单的第二天,ICO也就万豪3.83亿酒店客户信息泄露事件开出了1.23亿美元的巨额罚单,可见欧盟数据监管机构的处罚已渐趋强硬。而中国相关监管机构也发布了《数据安全管理办法》等征求意见稿,对企业的数据安全义务提出了更为细致的要求。诚如ICO负责人Elizabeth Denham所说,当你被委以个人数据,你就应当照顾好它们。企业唯有建立强健的数据安全能力与事件处理能力方可抵御数据泄露这一定时炸弹的攻击,减少它的危害。
文章来源:北京市竞天公诚律师事务所,发布此信息的目的在于传播更多信息,如有请侵权联系删除。
