作者：金茂律师事务所  万波 律师  王书玥 律师助理 

一、问题的引出

7月22日，Uber正式承认对隐藏2016年5700万乘客和司机数据泄露事件负责。据路透社报道，Uber与美国联邦贸易委员会（FTC）达成了一项不起诉协议。在签订的不起诉协议中，Uber 承认其工作人员未能向美国联邦贸易委员会报告2016年11月的黑客行为，尽管当时该机构正在调查这家网约车公司的数据安全性。旧金山的美国检察官斯蒂芬妮·海因兹（Stephanie Hinds）表示，在任命了新的执行领导层之后，Uber等了大约一年才报告违规行为。Uber在2017 年才首次披露了该数据泄露事件的细节，其没有向政府和用户分享它所知道的信息，而是向黑客支付了10万美元，让他们删除信息并保持沉默。

时隔6年，Uber才承认对当时的数据泄露事件负责，并竭力避免被起诉的后果发生。而在国内，近期最引人注目的数据泄露事件当属“学习通”的用户数据泄露事件。

在6月21日，有微博网友爆料称，大学生学习软件超星学习通的数据库信息疑似被公开售卖，其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。学习通随即针对“疑似学习通用户数据泄露”的传闻回应称，鉴于事情重大，已经向公安机关报案，公安机关已介入调查。

历年来，类似的数据泄露事件在国内外频繁发生，或大或小，且据不完全统计，截至 2021 年，数据泄露的全球平均总成本已高达424万美元 。实际上，数据泄露仅属于数据安全事件的一种，其他数据安全事件还有数据勒索、数据拦截、数据窃取等等，这类数据安全事件的发生都意味着高昂的处置成本。

那么什么是法律意义上的数据安全事件呢？

二、相关法规

我国《数据安全法》第二十九条规定：“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”

再看《个人信息保护法》，其规定得就更加细致，其第五十七条规定：“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。”

对比上述两部法律的规定，我们不难发现，《个人信息保护法》将“个人信息安全事件”的内涵界定得较为简单，仅包括“泄露、篡改、丢失”三种情形，而《数据安全法》对“数据安全事件”的内涵和外延则完全未作界定。

信安标委在2021年1月6日发布了《信息安全技术 信息安全事件分类分级指南（征求意见稿）》，其中对数据攻击事件进行了细分，具体分为数据篡改、数据假冒、数据泄漏、数据窃取、数据拦截、数据丢失、数据错误、数据勒索等事件，具体指：

1、数据篡改（TWD）：是指未经授权接触或修改数据，例如服务请求数据篡改、服务响应数据篡改等等；

2、数据假冒（DC）：是指非法或未经许可使用、伪造系统数据，例如身份数据假冒、网页数据假冒等；

3、数据泄漏（DLE）：是指通过技术手段或恶意操作使得信息系统中的数据对外透露，例如社会工程、网络钓鱼等；

4、数据窃取（ToD）：是指未经授权利用技术手段恶意主动获取信息系统中的数据，例如窃听、间谍、位置检测等；

5、数据拦截（DIN）：是指在数据到达目标接收者之前捕获数据；

6、数据丢失（DLO）：是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的数据缺失；

7、数据错误（DE）：是指输入或处理数据时发生错误；

8、数据勒索（DB）：是指主动瞄准目标，通过劫持信息系统重要数据或个人敏感信息向目标勒索赎金，从而达到敲诈的目的；

9、其它数据攻击（ODA）：是指不能被包含在以上子类之中的数据攻击。

除了上述“数据攻击事件”外，《信息安全技术 信息安全事件分类分级指南（征求意见稿）》还进一步列举了有害程序事件（如计算机病毒、蠕虫、木马）、网络攻击事件（如拒绝服务、APT）、有害内容事件（虚假信息内容、网络欺诈）、设备设施故障事件（如技术故障、基础设施故障）、违规操作事件（如权限伪造、误操作）、不可抗力事件、其他事件等其他7个分类，每个基本分类分别包括若干个子类。

参考上述指南，宜将“数据安全事件”作广义理解，将因人为故意或意外行为引起的，也可能是由某些控制失效或不可抗力等原因引起的数据泄漏、篡改、丢失、毁损、错误、被勒索等均归入安全事件范围。

三、相关案例

仅在2021年至今年上半年，诸多互联网企业就曾陷入数据泄露等数据安全事件的风波，其中不乏英伟达、三星、Meta（前身Facebook）等知名企业。

案例1：三星被公开源代码和机密数据

2022年3月，继NVIDIA核心源代码75GB的机密数据和核心源代码被泄露后，Lapsus$勒索组织在2022年3月4日再次公开了韩国消费电子巨头三星电子150GB的机密数据和核心源代码。两次数据泄露事件之间的时间间隔还不足一周，令业界大为震动。Lapsus$勒索组织发布了一份报告，其中包含了三星电子大量的机密数据，以及三星软件中C/C++指令快照的内容。据悉，Lapsus$ 勒索组织将泄露的数据拆分为三个压缩文件，总计已经达到190GB，并且以非常受欢迎的torrent形式提供。Lapsus$ 勒索组织还表示接下来将上传至更多的服务，不断提高数据下载速度。

案例2：Meta因数据安全问题罚单不断

2022年2月，美国加州地方法院何塞分庭宣布了结了一起Meta与4名Facebook用户长达十年数据隐私诉讼，这4名用户指控Facebook在他们退出社交媒体网站后，仍会追踪他们的网络活动，对用户隐私权构成侵犯。根据庭外和解协议，Meta最终同意支付9000万美元的赔偿金，并同意删除在用户不知情的情况下搜集到的所有数据。2022年3月，爱尔兰数据保护委员会再度对Meta开刀，认为Meta在多次大规模个人数据泄露事件中，未能证明其采取了适当的安全应对措施。

案例3：英伟达遭到黑客威胁，涉及1TB机密数据泄露

根据南美黑客组织LAPSU$在2022年2月表示，他们在对正式攻击英伟达之前已经在内部系统潜伏了一周之久，也已经获取了1TB的机密数据，包括未发布的40系列显卡的设计蓝图、驱动、固件、各类机密文档、SDK开发包，并对所有数据进行了备份，其中还包括了7万名员工信息。

案例4：里约财政系统遭勒索攻击，420GB数据被盗

2021年4月22日，巴西里约热内卢州财政部门系统遭到勒索软件攻击。随后勒索软件团伙LockBit宣称为此次事件负责。LockBit入侵了接入政府办公室的系统，并窃取到约420 GB数据。

案例5：美国出版业巨头Macmillan遭勒索软件攻击后关闭系统

2021年6月25日，美国最大的图书出版商之一Macmillan遭遇勒索软件攻击，并波及英国分公司Pan Macmillan。最新消息显示，Macmillan已成功恢复内部邮件系统，员工已复工，不过专业人士认为，这次攻击不可避免会造成图书短暂出货延迟。

四、小结

面对如此高发的数据安全事件，企业在数据泄露或遭到数据勒索后，所采取的措施往往都较为消极，例如关闭系统等，不仅影响自身业务的进行，还有可能在后续受到监管部门的处罚。更有甚者，例如成立157年的美国老牌高校林肯学院，由于新冠疫情和持续遭受的勒索软件攻击对其财务造成了残酷的打击，学院决定将永久关闭 。

因此，在数据安全事件发生后，企业应及时履行相关的报告义务或通知义务，并及时对系统漏洞进行处置。同时，为更好地应对和预防数据安全事件的发生，企业还应预先制定相关应急处置预案，重视企业数据安全。具体内容我们将会在下篇中进行讲解。