2022年6月20日晚,据安全行业业界消息,大学生学习软件超星学习通的数据库信息疑被公开售卖。据称,其中泄露的数据包含用户姓名、手机号、性别、学校、学号、邮箱等信息约1亿7273万条。
6月21日下午,公安机关已经介入调查此案。就目前掌握的事件情况看,“超星学习通”用户被泄露的信息多是姓名、电话、身份证号等内容,官方尚未明确个人信息泄漏途径[1]。此事件是极为严重的个人信息泄露事件,在信息技术飞速发展的当下,诸如此类的个人信息泄露事件频繁发生,使得个人权益处于非常危险的境地,甚至还会影响社会秩序和国家安全。
01 个人信息泄露
个人信息泄露,也称“个人数据泄露”。我国《个人信息保护法》并未对“个人信息泄露”的概念作出明确界定。欧盟《一般数据保护条例》第4条第12款将个人数据泄露定义为“违反安全所导致的意外的或非法的销毁、丢失、篡改、未经授权的披露或取得被传输、存储或以其他方式处理的个人数据”。而在我国,《个人信息保护法》《民法典》将个人信息的“泄露”与“篡改”“丢失”相并列,因此我国的个人信息泄露不包括个人信息被篡改和丢失,仅指个人信息处理者因违反安全措施而导致他人未经授权取得或知悉个人信息的情形。[2]
个人信息泄露的原因多种多样,包括黑客入侵、数据库配置错误、企业人员非授权访问、第三方维护人员错误操作、“内鬼”主动泄露等。[3] IBM公司的《2020年度数据泄露报告》将数据泄露的原因分为三大类,分别为系统故障(IT和业务流程故障)、人为失误(玩忽职守的员工或承包商无意中引起数据泄露)、恶意攻击(由黑客或犯罪的内部人士引起)。[4]
个人信息泄露事件发生后,非法获取个人信息的人有可能从事各种侵害他人合法权益的犯罪活动,如披露他人隐私、窃取他人财产、侵害生命健康权等。若海量个人信息被境外机构经过大数据分析技术的汇聚融合、再处理、再分析、开发测试等,将使得我国公民整体的健康信息、我国金融安全、地理分布等信息被境外掌握,后果不堪设想。
02 法律责任
(一)个人信息处理者的法律责任
根据《个人信息保护法》第七章的规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,或处理个人信息侵害个人信息权益造成损害,个人信息处理者及其直接负责的主管人员和其他直接责任人员应当承担相应责任。
此外,《个人信息保护法》第20条明确规定“共同处理”的情形,即两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式。在此情形下,多个个人信息处理者应当依法承担连带责任;第21条规定“委托处理”的情形,即个人信息处理者委托处理个人信息,与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方权利义务等。在委托处理的情形下,由委托处理者承担法律责任,受托处理者如果超出了委托范围进行处理,则应认定其为独立的个人信息处理者,依法承担责任。
1. 民事责任
(1)过错推定的损害赔偿责任
《个人信息保护法》第69条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。根据该条款,个人信息泄露后造成个人信息权益损害的,个人信息处理者不能举证证明自己没有过错的,就应当承担损害赔偿的侵权责任。
(2)公益诉讼风险
《个人信息保护法》第70条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。根据该条款,个人信息泄露后个人信息处理者可能面临公益诉讼的风险。
2. 行政责任
根据《个人信息保护法》第66、68、71条的规定,履行个人信息保护职责的部门可对未尽个人信息保护义务的个人信息处理者责令改正,给予警告,没收违法所得,情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
对作为个人信息处理者的国家机关,也可由其上级机关责令改正,对直接负责的主管人员和其他直接责任人员依法给予处分。另外,对于违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚。
3. 刑事责任
若个人信息处理者或其直接负责的主管人员和其他直接责任人员构成侵犯公民个人信息、危害国家安全、泄露国家秘密等相关犯罪的,应依法定罪量刑。此外,若履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,构成相关犯罪的,依法处理。
(二)入侵黑客的法律责任
在文首曝光的个人信息泄露事件中,如属于黑客入侵网站获取海量公民个人信息,根据《刑法》第285条,则行为人涉嫌非法获取计算机信息系统数据罪。后行为人又将海量信息放在网上售卖,根据《刑法》第253条之一,涉嫌侵犯公民个人信息罪。这些个人信息经贩卖至境外后,还可能滋生出网络电信诈骗、网络盗窃、敲诈勒索、绑架等下游犯罪,严重侵犯公民人身和财产安全。
03 个人信息处理者的合规要点
(一)个人信息处理者的事前义务
《个人信息保护法》第五章规定了个人信息处理者的法律义务以防止个人信息泄露,类似于本案中处理海量敏感个人信息的政府机关部门和云计算服务商,应当履行的义务包括:
1. 制定内部管理制度和操作规程;
2. 对个人信息实行分类分级管理;
3. 采取相应的加密、去标识化等安全技术措施;
4. 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
5. 制定并组织实施个人信息安全事件应急预案;
6. 符合法律要求的个人信息处理者应指定个人信息保护负责人,公开其联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门;
7. 定期对其处理个人信息遵守法律、行政法规的情况进行合规审计;
8. 事前进行个人信息保护影响评估,包括评估个人信息的处理目的、方式等是否合法、正当、必要,评估对个人权益的影响及安全风险,评估所采取的保护措施是否合法、有效并与风险程度相适应。
(二)发生个人信息泄露事件后个人信息处理者的义务
《个人信息保护法》第57条规定,发生个人信息泄露事件后,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
1. “立即”:
所谓“立即”,是指即刻的、毫不迟延的。《个人信息保护法》第51条规定个人信息处理者制订并组织实施个人信息安全事件应急预案。个人信息泄露即属于个人信息安全事件,此时个人信息处理者应当立即启动应急预案,即刻查明个人信息泄露的原因并有针对性地采取措施。如因黑客入侵所致,则应当立即修复安全系统,清除病毒、恶意软件,更改密码等。
2. “通知”的时间:
(1)通知义务的产生时间:因检测技术的能力有限以及恶意软件逃避检测的能力也在不断进化,个人信息处理者在很多情况下并不能及时检测到个人信息泄露的发生。另外,《个人信息保护法》第51条规定个人信息处理者负有采取合理措施及时发现个人信息泄露的义务,因此,通知义务的产生时间应当为个人信息处理者发现、知道个人信息泄露的时间。[5]
(2)通知义务的履行时间:在通知义务产生后,个人信息处理者应当在多长时间内通知履行个人信息保护职责的部门和个人?此点在我国《个人信息保护法》中并未作出明确规定。欧盟《一般数据保护条例》第33条规定数据控制者应当自知道之时起72小时内向监管机构进行报告,并及时通知个人。[6]
3. “通知”的内容:
通知应当包括下列事项:(1)泄露的个人信息种类、原因和可能造成的危害;(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(3)个人信息处理者的联系方式。
4. 履行个人信息保护职责的部门:
根据《个人信息保护法》第60条的规定,履行个人信息保护职责的部门包括国家网信部门、国务院有关部门、县级以上地方人民政府有关部门。
(三)个人信息处理者的技术保障
要有效杜绝和防范个人信息的泄露,必须依靠个人信息处理者在日常处理中所提供的技术保障,也即数据处理者的安全治理能力。所谓数据安全治理,就是为了在企业数字化转型期间,精确地通过科学化、流程化、自动化、弹性化,高度灵活来适配企业的业务流程,把数据资产的管理与基于生命周期的安全通过技术能力与业务逻辑进行深度的融合,从而实现企业核心数据资产的安全性保护,并最大程度地在企业战略目标与风险容忍度之间,达到最佳的动态平衡,让企业在数字化活动中获取最大业务收益,同时实现合规遵从。
对数据资产的泄露防护,就是数据安全治理流程体系所输出的能力检验标准之一,也是业务数据安全建设的关键技术支撑能力。所以做数据安全治理必须首先建设数据防泄露体系。
数据防泄露(即Data Leak Prevention,简称“DLP”)指的是使用先进的内容分析技术,在统一的管理控制台内对静止的、流转的、使用的敏感数据进行保护的系统,是当前支撑数据资产保护的重要技术之一。DLP 产品分为两个类型:企业级DLP和集成DLP。企业级DLP技术专注于防止敏感数据丢失并实现多数据通道防护的全面覆盖,集成式DLP解决方案则是在其他非DLP设备中提供有限的DLP功能。许多安全厂商都认可数据泄露防护的技术重要性,但不少厂商采用集成DLP解决方案,导致了许多机构和管理者被误导,认为数据泄露防护解决方案的防护范围和能力不够充分。所以个人信息处理者应当制定一套标准规范体系,构建完善的数据防泄漏解决方案。[7]
个人信息泄露事件频发,已对个人权益、企业发展甚至国家安全造成严重威胁。法律层面,个人信息处理者应当按照个人信息保护相关法律法规履行应尽的义务;技术层面,个人信息处理者尤其是类似于云服务提供商这样的技术服务提供者,因使用其云存储、云数据库等服务的政企众多,一旦发生信息泄露事件,后果不堪设想,因此其应当加快隐私计算、数据防泄漏等数据安全和保密技术的攻坚克难,才能真正保障对个人信息的完善保护和对法律义务的切实履行。
········································································
感谢中央财经大学2021级法律硕士智佳琦同学对本文提供的支持和帮助。
参考文章:
1. https://mp.weixin.qq.com/s/r9YNaAXvxo-9h_N9lISapg
2. 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第435-436页。
3. 杨婕:《解析我国规制个人信息泄露问题的法律路径》,载《信息通信技术与政策》2021年第9期,第66页。
4. 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第435页。
5. 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第437页。
6. 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第441-442页。
7. 中国信息协会:《数据防泄露技术指南》第1—2页。
律师简介——庞理鹏 律师
策略律师事务所党支部书记、执行主任、数据合规项目组负责人
国际信息科学考试学会(EXIN)数据保护官(DPO)&信息安全官、(ISO)双认证律师,并担任该考试协会数据保护官(DPO)授权培训讲师;
中国信息通信研究院个人信息保护合规审计推进小组成员;
中国政法大学企业发展战略研究中心理事;
中国广告协会数字元宇宙工作委员会副秘书长;
北京文化娱乐法学会元宇宙与数字经济法律专业委员会主任;
北京多元调解发展促进会策略区块链与数字经济争议调解中心负责人;
北京市律师协会商事犯罪预防与辩护委员会委员;
北京市律师协会青年律师联谊会委员;
北海国际仲裁院仲裁员
刘卉 律师
清华大学民法学博士,拥有近十六年的法律从业经验
北京市物权法研究会 理事
策略律所数据合规项目组成员
EXIN数据保护官(DPO)&信息安全官(ISO)双认证律师
······························································································
特别声明:以上仅代表笔者个人观点,不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨,欢迎与本所联系!
2022-07-11 09:12:26
010-85197758
