張博卿

近年來，全球數(shù)據(jù)泄露事件頻發(fā)。賽迪智庫網(wǎng)絡(luò)安全研究所分析了2019年全球71起較大的數(shù)據(jù)泄露事件后發(fā)現(xiàn)，個人信息是數(shù)據(jù)泄露的重災(zāi)區(qū)，數(shù)據(jù)庫未能正確配置和黑客攻擊是個人信息泄露的主要原因，政府部門的個人信息泄露事件不容忽視。在總結(jié)主要國家應(yīng)對個人信息泄露舉措的基礎(chǔ)上，提出三點(diǎn)建議：細(xì)化數(shù)據(jù)泄露通知相關(guān)規(guī)定;加大對數(shù)據(jù)泄露的處罰力度，豐富處罰手段;建立數(shù)據(jù)泄露主動監(jiān)測系統(tǒng)。

全球數(shù)據(jù)泄露高發(fā)

個人信息保護(hù)形勢嚴(yán)峻

個人信息是數(shù)據(jù)泄露的重災(zāi)區(qū)。個人信息泄露引發(fā)的網(wǎng)絡(luò)身份盜竊往往會導(dǎo)致金融詐騙、信用欺詐等后果出現(xiàn)，成為黑客的重點(diǎn)關(guān)照對象，也是暗網(wǎng)中銷售的主要數(shù)據(jù)類型。

一是幾乎所有數(shù)據(jù)泄露事件都涉及個人信息。在71起數(shù)據(jù)泄露事件中，涉及個人信息的有68起，姓名、聯(lián)系方式等身份標(biāo)識信息被普遍泄露，累計(jì)超過48億人次的個人信息被泄露，發(fā)生在美國的數(shù)據(jù)泄露事件最多，占比39%。二是醫(yī)療和社交領(lǐng)域個人數(shù)據(jù)泄露規(guī)模較大。個人醫(yī)療信息泄露事件占比15%，德國研究機(jī)構(gòu)調(diào)查了全球2300個醫(yī)學(xué)圖像存檔系統(tǒng)，發(fā)現(xiàn)來自52個國家的2430萬份患者的數(shù)據(jù)能夠公開訪問，其中包含7.37萬張高清醫(yī)學(xué)圖像，我國14個服務(wù)器泄露了27.9萬份患者數(shù)據(jù)。在個人社交信息方面，累計(jì)超過12億人次的臉書用戶信息被泄露，主要是美國、英國和越南的臉書用戶受到較大影響。三是部分大型互聯(lián)網(wǎng)企業(yè)的用戶個人信息泄露頻繁。一方面，泄露來自大型互聯(lián)網(wǎng)企業(yè)未能管控好第三方應(yīng)用程序。今年4月，臉書連續(xù)發(fā)生兩起個人信息泄露事件，分別由第三方應(yīng)用程序CulturaColectiva和AtthePool導(dǎo)致，有超過5.5億臉書用戶數(shù)據(jù)被泄露。另一方面，黑客技術(shù)導(dǎo)致大型互聯(lián)網(wǎng)企業(yè)用戶個人信息泄露。今年7月，以色列網(wǎng)絡(luò)安全公司NSO集團(tuán)開發(fā)了能夠從蘋果、谷歌、臉書、亞馬遜和微軟云服務(wù)器中獲取敏感數(shù)據(jù)的惡意軟件，該公司的相關(guān)產(chǎn)品已被多個間諜機(jī)構(gòu)和政府使用。四是政府部門造成公民個人信息被大規(guī)模泄露。今年7月，有超過500萬的保加利亞人（占總?cè)丝诒壤?1.4%）稅務(wù)信息被泄露;8月，超過1430萬智利人（占總?cè)丝诒壤?0%）的選舉相關(guān)信息被泄露;9月，厄瓜多爾全民個人信息和部分已死亡的公民信息被泄露，或?qū)砣珖孕庞煤徒鹑谠p騙猖獗。

數(shù)據(jù)庫未得到正確配置和黑客攻擊是個人信息被泄露的主因，必須高度關(guān)注多源數(shù)據(jù)融合致使個人信息被挖掘。導(dǎo)致數(shù)據(jù)泄露的原因多種多樣，包括云上數(shù)據(jù)庫未得到正確配置、網(wǎng)絡(luò)釣魚、勒索攻擊、機(jī)構(gòu)內(nèi)部泄露、多源數(shù)據(jù)匯聚后被挖掘分析等。一是有40.8%的數(shù)據(jù)泄露事件是由數(shù)據(jù)庫未得到正確配置所致。部分企業(yè)數(shù)據(jù)庫未加密且沒有任何身份認(rèn)證措施，致使數(shù)據(jù)可通過互聯(lián)網(wǎng)被公開訪問，特別是云上數(shù)據(jù)安全堪憂，占比15.2%的數(shù)據(jù)泄露事件源于托管在亞馬遜和微軟云服務(wù)器上的數(shù)據(jù)庫能夠被公開訪問。二是占比27.8%的數(shù)據(jù)泄露事件是黑客攻擊所致。今年2月份，以色列加密貨幣交易平臺Coinmama被黑客攻擊，用戶電子郵件和哈希密碼泄露。三是多源數(shù)據(jù)融合導(dǎo)致個人信息被挖掘也是數(shù)據(jù)泄露的一種形式。盡管在爬蟲等應(yīng)用逐漸增多的情況下，這些數(shù)據(jù)可能是通過公開渠道合法采集的。例如，去年11月，研究人員發(fā)現(xiàn)了一個涉及12億人信息的公開數(shù)據(jù)庫，該數(shù)據(jù)庫中的信息采集自臉書、Linkedln、Twitter、GutHub等網(wǎng)站和一些數(shù)據(jù)經(jīng)紀(jì)人，其數(shù)據(jù)來源合法，但研究人員發(fā)現(xiàn)其中多源數(shù)據(jù)融合導(dǎo)致的隱私問題極多。

政府部門個人信息泄露現(xiàn)象不容忽視。政府部門匯聚和掌控了大量涉及國家安全和個人隱私的數(shù)據(jù)，在2019年的數(shù)據(jù)泄露事件中，由于政府門戶網(wǎng)站被攻擊或存在嚴(yán)重漏洞、政府云上數(shù)據(jù)庫未得到正確配置等原因?qū)е碌臄?shù)據(jù)泄露事件占比達(dá)7%。71.4%的保加利亞國民個人信息、679萬印度國民個人信息（存儲在印度國家身份認(rèn)證系統(tǒng)Aadhaar中）等，均是從政府部門直接泄露;澳大利亞泄露國民18億條出行信息，則是由于政府部門在開放數(shù)據(jù)過程中未能做好數(shù)據(jù)脫敏，致使個人信息被重新識別。上述事件表明，政府部門必須高度重視數(shù)據(jù)安全方面的工作。

主要國家應(yīng)對個人信息

泄露的舉措

在立法和標(biāo)準(zhǔn)制訂層面，制定和完善數(shù)據(jù)泄露通知制度。數(shù)據(jù)泄露通知是指數(shù)據(jù)控制者將泄露情況通知給監(jiān)管機(jī)構(gòu)和受影響自然人的制度。全球數(shù)據(jù)泄露通知立法始于美國加利福尼亞州2002年出臺的《數(shù)據(jù)安全泄露法》，隨后被歐盟、韓國、澳大利亞、新加坡、加拿大等國家或地區(qū)廣泛采納。

一是美國各州制定《數(shù)據(jù)泄露通知法》，對金融和醫(yī)療等行業(yè)立法也做出了相關(guān)規(guī)定。美國《數(shù)據(jù)泄露通知法》普遍規(guī)定了適用主體范圍、PII（可識別個人信息）的定義、觸發(fā)通知的要素、評估損失和通知公眾的程序、賠償及具體實(shí)施機(jī)構(gòu)、罰款規(guī)則等。在州政府層面，隨著2018年南達(dá)科他州和阿拉巴馬州頒布《數(shù)據(jù)泄露通知法》，全美50個州均實(shí)現(xiàn)了數(shù)據(jù)泄露通知的專門立法。近兩年，阿肯色州、伊利諾伊州、緬因州、新澤西州等開展了《數(shù)據(jù)泄露通知法》的修訂工作，重點(diǎn)是擴(kuò)大PII定義、縮短通知時間、增加泄露主體機(jī)構(gòu)在數(shù)據(jù)泄露后的信用監(jiān)控職責(zé)等。例如，阿肯色州、新澤西州分別將生物識別數(shù)據(jù)、用戶網(wǎng)上賬戶納入PII的范疇;緬因州將數(shù)據(jù)泄露后需告知受影響公眾的時間改為30天;康涅狄格州則要求企業(yè)向社保號遭到泄露的個人提供兩年的免費(fèi)身份盜竊防護(hù)服務(wù)和補(bǔ)救服務(wù)。在行業(yè)層面，聯(lián)邦預(yù)算管理辦公室的《健康保險(xiǎn)責(zé)任法》《金融服務(wù)法現(xiàn)代化法案》等對相應(yīng)行業(yè)個人信息泄露通知進(jìn)行了規(guī)定。在州立法和聯(lián)邦立法協(xié)同方面，州立法普遍增加了“安全港”準(zhǔn)則，即醫(yī)療健康、金融等個人信息被泄露時，應(yīng)遵守聯(lián)邦立法的規(guī)定。二是歐盟GDPR做出相關(guān)規(guī)定。GDPR規(guī)定，個人數(shù)據(jù)被泄露時，控制者應(yīng)當(dāng)在知道之時起72小時內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告，除非不會給自然人權(quán)利和自由造成風(fēng)險(xiǎn);若可能給自然人權(quán)利和自由造成高風(fēng)險(xiǎn)，則需要通知數(shù)據(jù)主體。截至今年1月底，各企業(yè)向歐洲經(jīng)濟(jì)區(qū)內(nèi)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)通報(bào)的個人數(shù)據(jù)泄露事件已達(dá)160921起。三是韓國、澳大利亞、加拿大、新加坡等效仿美、歐建立數(shù)據(jù)泄露通知制度。例如，韓國《信息通信網(wǎng)絡(luò)的利用促進(jìn)與信息保護(hù)等相關(guān)法》、加拿大《個人信息保護(hù)和電子文檔保護(hù)法案》、新加坡《2020年個人數(shù)據(jù)保護(hù)法案（修訂法案）》等。其中，加拿大的法案還要求組織保留個人信息泄露記錄，保留期限至少兩年，該記錄將成為隱私專員辦公室判斷組織是否違反法案的依據(jù)。新加坡今年5月發(fā)布的《2020年個人數(shù)據(jù)保護(hù)法案（修訂法案）》，在2012年個人數(shù)據(jù)保護(hù)法的基礎(chǔ)上引入了強(qiáng)制性數(shù)據(jù)泄露通知的規(guī)定。為幫助數(shù)據(jù)控制者評估數(shù)據(jù)泄露對個人潛在危害的程度，新加坡通信和信息部、個人數(shù)據(jù)保護(hù)委員會將制定一個數(shù)據(jù)目錄，包括駕駛證號碼、信用卡號碼、居民身份證號等，此類數(shù)據(jù)一旦泄露將對個人造成重大危害。四是在標(biāo)準(zhǔn)指南制定層面，指導(dǎo)數(shù)據(jù)控制者落實(shí)數(shù)據(jù)泄露通知責(zé)任。歐盟多家數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)現(xiàn)，長期以來數(shù)據(jù)控制者一直存在數(shù)據(jù)泄露通知不及時、不充分、重復(fù)通知，以及難以評估數(shù)據(jù)泄露風(fēng)險(xiǎn)等級等問題。為此，2018年11月—2019年10月，歐洲數(shù)據(jù)保護(hù)專員公署、波蘭個人數(shù)據(jù)保護(hù)局、愛爾蘭數(shù)據(jù)保護(hù)委員會先后發(fā)布了個人信息泄露通知相關(guān)指南，明確了數(shù)據(jù)泄露通知包含的要素、通知監(jiān)管機(jī)構(gòu)和個人的方式、通知時間、風(fēng)險(xiǎn)評估的關(guān)鍵要素等，并要求數(shù)據(jù)控制者留存數(shù)據(jù)泄露事件、通知及采取的補(bǔ)救措施等相關(guān)記錄，監(jiān)管機(jī)構(gòu)將對記錄進(jìn)行訪問，以驗(yàn)證相關(guān)行為是否合法。

在執(zhí)法層面，加大對數(shù)據(jù)泄露主體的處罰力度。歐盟、美國等國家和地區(qū)普遍對未能采取有效措施而導(dǎo)致個人數(shù)據(jù)泄露的組織采取罰款等形式進(jìn)行處罰。例如，2019年7月，美國征信巨頭Equifax被FTC罰款5.75億美元，因?yàn)槠?017年未能在數(shù)據(jù)庫中及時完善ApacheStruts框架且在發(fā)現(xiàn)該問題數(shù)周內(nèi)未及時通知監(jiān)管機(jī)構(gòu)和公眾，導(dǎo)致美國近1.5億人的財(cái)務(wù)信息被泄露;Equifax還承諾，要為消費(fèi)者提供現(xiàn)金補(bǔ)償，并每兩年開展一次信息安全計(jì)劃的第三方評估。2019年7月，萬豪國際酒店被英國信息專員辦公室罰款1.24億美元，原因是其泄露了3.83億用戶的個人信息，同時未能及時通知和報(bào)告數(shù)據(jù)泄露情況。此外，2019年，醫(yī)療機(jī)構(gòu)CottageHealth和Touchstone醫(yī)學(xué)影像、臉書均因數(shù)據(jù)泄露分別被美國、巴西的主管機(jī)構(gòu)處以罰款。

應(yīng)對個人信息泄露的建議

細(xì)化數(shù)據(jù)泄露通知相關(guān)規(guī)定，發(fā)布指南或標(biāo)準(zhǔn)指導(dǎo)相關(guān)機(jī)構(gòu)執(zhí)行。我國數(shù)據(jù)泄露通知相關(guān)規(guī)定包含在《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》和網(wǎng)絡(luò)安全法中，建議在數(shù)據(jù)安全法、個人信息保護(hù)法以及相關(guān)指南標(biāo)準(zhǔn)中，進(jìn)一步明確和細(xì)化相關(guān)規(guī)定。一是明確數(shù)據(jù)泄露通知的程序和內(nèi)容。程序上包括通知部門、觸發(fā)通知的條件、通知部門和受影響自然人的時限和形式、數(shù)據(jù)泄露日志的內(nèi)容和保留時限等。內(nèi)容上包括數(shù)據(jù)泄露的原因和字段、數(shù)據(jù)泄露事件影響的嚴(yán)重程度、已造成和可能造成的后果、已采取或擬采取的補(bǔ)救措施等。二是評估數(shù)據(jù)泄露影響需要考慮的因素。數(shù)據(jù)泄露影響評估旨在判斷其是否達(dá)到觸發(fā)通知的條件、可能造成的后果，以及需采取的補(bǔ)救措施等。建議在評估過程中考慮以下因素：是否泄露敏感個人數(shù)據(jù)或重要數(shù)據(jù)，是否在數(shù)據(jù)泄露前已采取適當(dāng)?shù)募夹g(shù)保護(hù)措施加以保護(hù)（例如加密或匿名），是否會導(dǎo)致身份欺詐、金融詐騙、名譽(yù)損害等嚴(yán)重危害個人利益的問題，是否造成數(shù)據(jù)跨境泄露等。

加大數(shù)據(jù)泄露處罰力度，豐富處罰手段?！稊?shù)據(jù)安全法（草案）》第四十二條規(guī)定，開展數(shù)據(jù)活動的組織造成大量數(shù)據(jù)泄露等嚴(yán)重后果的，應(yīng)處10萬元以上100萬元以下罰款。與歐、美國家執(zhí)法機(jī)構(gòu)動輒上億美元的罰款相比，該處罰力度難以對造成數(shù)據(jù)泄露事件的組織形成有效威懾，建議進(jìn)一步加大處罰力度，倒逼數(shù)據(jù)控制者完善數(shù)據(jù)保護(hù)措施。此外，應(yīng)借鑒美、歐等國家和地區(qū)的執(zhí)法經(jīng)驗(yàn)，在處罰細(xì)則方面增加涉事主體對自然人賠償、為自然人提供免費(fèi)信用監(jiān)控，以及由第三方專業(yè)機(jī)構(gòu)定期評估涉事主體數(shù)據(jù)安全情況等內(nèi)容。

建立數(shù)據(jù)泄露主動監(jiān)測系統(tǒng)，加強(qiáng)對云服務(wù)系統(tǒng)和政府信息系統(tǒng)的定期檢查。鑒于云和政府?dāng)?shù)據(jù)泄露態(tài)勢的嚴(yán)重性，一方面要建立主動監(jiān)測系統(tǒng)，重點(diǎn)監(jiān)測國內(nèi)主要云服務(wù)系統(tǒng)和政府信息系統(tǒng)數(shù)據(jù)是否被篡改、非法訪問、數(shù)據(jù)庫可公開訪問等情況;另一方面，要組織專業(yè)機(jī)構(gòu)對云服務(wù)系統(tǒng)和政府信息系統(tǒng)進(jìn)行定期檢查，包括其是否被攻擊、非法入侵、存在漏洞，以及數(shù)據(jù)庫是否得到正確配置等。