​作者：金茂律师事务所  万波 律师  王书玥 律师助理

一、问题的引出

随着数字经济的蓬勃发展，越来越多的企业将数据视为重要资产。同时，由于企业互联网化进程的不断深入，越来越多的业务被迁移到互联网上，大量的应用数据被产生、传输、公开、共享，应用敞口风险和链条管控难度也随之加大，故而，相关数据安全事件的发生频率也日益增多。

在上篇中，我们对法律意义上的数据安全事件进行了一个简要介绍。而对于企业来说，在建立相关概念后，更重要的是如何正确应对数据安全事件，包括事前的安全事件应急处置预案的制定，以及履行相关的报告、通知义务等。

二、相关法规

关于制定安全事件应急预案，《个人信息保护法》在第五十一条中要求：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，制定并组织实施个人信息安全事件应急预案。在实践中，企业则可以参照《网络安全事件应急演练指南》（GB/T 38645-2020）、《银行保险机构应对突发事件金融服务管理办法》以及《上海市网络安全事件应急预案》等相关国家标准、法规，来建立适合自身的个人信息安全事件的应急处置预案。

在发生数据安全事件时，企业负有向政府部门报告、向用户通知的义务，该义务在《数据安全法》和《个人信息保护法》中都有规定。《数据安全法》在第二十九条中规定，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。而在《个人信息保护法》中，对于报告/通知义务触发的规定则比《数据安全法》更为严格。《个人信息保护法》第五十七条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

在网信办2021年公布的《网络数据安全管理条例（征求意见稿）》中，则对数据处理者应建立的数据安全应急处理机制进行了更详细的规定：

第十一条  数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当履行以下义务：

（一）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等；

（二）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

三、相关案例

历年来，全球范围内不乏一些知名企业由于发生了数据安全事件而被处罚的案例。

案例1：英国航空公司数据泄露事件

2018年6月起英国航空公司网站发生了数据泄露事件，9月英航向英国信息专员办公室（ICO）通报该数据泄露事件。该事件导致约50万名英航乘客的个人信息被泄露。在该事件中，用户流量被移转到虚假网站，攻击者通过这个虚假网站收集了客户详细信息，包括客户个人信息和银行卡信息，如姓名、地址、邮箱，以及信用卡的号码、有效期和背面的验证码（CVV）等。事件爆发后，英航配合ICO调查并对安全系统进行整改，英航因缺乏保障信息安全的技术和组织措施，被ICO处以2000万英镑罚款。

案例2：万豪国际数据泄露事件

2018年11月，万豪国际集团公开披露其旗下喜达屋酒店客房预订系统数据泄露事件，该事件导致3.39亿酒店客户信息被黑客窃取，涉及到3000万来自31个欧洲经济区（EEA）国家的居民，其中包括700万英国居民。万豪国际在2016年9月收购了喜达屋酒店。据英国ICO调查，喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014年7月起便存在，直到2018年才发现此漏洞。针对此次事件，ICO于2019年7月9日依据GDPR第32条对万豪国际作出1.6亿欧元罚款。

案例3：爱尔兰监管机构因数据泄露对Meta处以1900万美元罚款

2022年3月15日，爱尔兰数据保护委员会（DPC）在Meta处以约1860万美元的罚款。DPC称，Meta未能采取适当的技术和措施，在2018年6月7日12月4日的6个月期间发生了12次数据泄露，违反了GDPR。Meta表示这项罚款涉及到其自2018年以来更新的记录保存方式，而非未能保护用户信息。此前，爱尔兰监管机构此前曾在2021年9月因违反透明度义务对WhatsApp处以约2.67亿美元的罚款。

案例4：农业银行因数据泄露等被罚420万

根据银保监会官网于2021年1月29日发布的“银保监罚决字〔2021〕1号”处罚信息表显示，中国农业银行被罚款420万元，处罚事由涉及数据安全管理较粗放、互联网门户网站泄露敏感信息等6项问题。农行具体涉及的违法违规行为包括：（一）发生重要信息系统突发事件未报告；（二）制卡数据违规明文留存；（三）生产网络、分行无线互联网络保护不当；（四）数据安全管理较粗放，存在数据泄露风险；（五）网络信息系统存在较多漏洞；（六）互联网门户网站泄露敏感信息。

而关于企业应如何判断自己面临“可能发生”个人信息安全事件，而需要履行报告义务的问题，我们试举几例场景以作辨析：

例1：某医院关于病人的一些重要医疗数据，在短期内因医院的设备设施故障导致不可访问。这时医疗数据并未泄露、篡改或真正“丢失”，而且在较短的时间内（如几小时）即恢复正常。

在该场景下，虽然医疗数据并未泄露、篡改或真正“丢失”，而且在较短的时间内（如几小时）即恢复正常，但这种事件可能造成的风险却是极高的，因为它可能给个人的生命和自由造成损害，譬如一台手术可能因此失败或无法开展从而影响病人的健康，因此从医院意识到故障发生时就应当触发了报告义务。

例2：一家制造公司的计算机系统受到勒索软件攻击，其数据被攻击者加密，但该公司已使用了最先进的加密技术，因此勒索软件访问的所有数据都是加密数据，解密密钥再攻击中并没有泄露。在分析了日志和其他监测系统收集的数据后确定，攻击者只是对数据进行了加密，而没有将数据外流，受攻击影响的数据与公司的员工和客户有关，备份是现成的，在攻击发生后几个小时就恢复了。

在该场景下，由于勒索软件攻击没有对公司日常运营造成影响，因此没有必要触发报告义务。

我们注意到，对于个人信息安全事件，处理者在其采取的措施“能否有效避免信息泄露、篡改、丢失造成危害”时，则可以免于向用户发送通知的例外情形。因此，处理者需要切实判断其采取的措施是否能达到上述《个人信息保护法》第五十七条第二款的规定。我们同样试着模拟一些场景以作辨析：

例1：一家银行的其中一个网上银行网站遭到了网络攻击，由于该网站存在漏洞，在某些情况下，有关信息（姓名、性别、出生日期、出生地址、财务代码、用户识别码）可能泄露给了攻击者。这影响了大约10万个数据对象，其中，攻击者通过尝试成功登录了大约2000个账号。事后，银行能够识别所有非法登录尝试并可以确认，根据反欺诈检查，这些账户在攻击期间没有执行任何交易。

在该场景中，虽然银行及时采取了措施，且事后还纠正了网站的漏洞，例如在网站尚增加了双因素认证，以防止今后类似的数据泄露事件，但这次数据泄露事件涉及的个人众多，涉及的数据不仅仅是身份信息，因此特别严重，不仅需要报告政府部门，还应通知所有可能受到影响的10万个自然人，也有利于个人能够采取必要的步骤。

例2：黑客利用SQL注册漏洞非法访问了某烹饪网站服务器的数据库。该网站的用户只能选择任意假名作为注册用户名，不鼓励为注册网站的目的使用电子邮箱地址。存储在数据可中的数据用一个强大的散列算法进行加密，因此直接受影响的数据是1200个用户的散列密码。

在该场景中，由于数据库中数据是用强大的散列算法加密的，因此降低了个人信息的性质、敏感性和数量方面的风险，此外，个人的联系信息没有被泄露，这意味着个人不存在被欺诈目标的重大风险，此时通知个人不是强制性的。但是，对于密码泄露，仍然建议告知个人，因为个人也能够采取必要的步骤，例如更改密码，以避免泄露行为造成进一步的伤害。

四、小结

数据安全是互联网以及数据企业的核心发展问题。企业除了在内部建立全流程的数据安全治理制度以外，例如制定数据安全事件应急预案、落实数据安全管理技术和措施、切实提高员工的数据安全意识等，还应重视来自外部的数据安全风险。根据威瑞森《2021年数据泄露调查报告》的数据可知，80%的数据泄露来自外部，这也是应用数据安全治理的不容忽视的一点。

在万物互联的当下，企业都积极迎上数字经济发展的风口。但在大力发展数字经济的同时，企业更应重视数据安全，积极预防和处置各类可能发生的数据安全事件。