七、数据危机应对
网络安全和数据安全,再强调其重要性也不为过,很难说哪个网络运营者的网络安全工作万无一失。决定个人信息安全事件发生的要素很多,就威胁源而言,有内部威胁源,也有外部威胁源;有恶意人员导致的数据被窃取等事件,也有非恶意人员无意中导致的数据泄露等事件,还有物理环境影响导致的数据毁损等事件;有技术因素导致的数据泄露、篡改、丢失等事件,也有管理不当引起的滥用等事件。
而在出现网络安全风险和网络安全事件等数据危机时,数据危机的应对效果,则能够有效地反映出网络运营者数据安全能力和风险处置能力。在出现数据危机时,应对得充分、完善,能够有效防止网络安全风险向网络安全事件发展,能够及时防止损失进一步扩大;应对得不充分、不完善,网络安全风险向网络安全事件发展的概率将会明显上升,造成的损失也会扩大。
《网络安全法》第25条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。接下来,将结合该规定,具体探讨如何应对数据危机。
(一)建立健全内部安全管理制度
《网络安全法》第21条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。根据该条规定,为了最大限度地降低数据危机的发生风险,网络运营者应当建立健全安全管理制度。对此,建议网络运营者:
1.确定网络安全负责人
网络运营者需要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查,定期对从业人员进行网络安全教育、技术培训和技能考核。对于数据管理负责人,本书将在后文专章探讨,此处不再展开。
2.建立健全内部控制制度
网络运营者应制定内部控制制度,明确对于数据安全的管理办法,并通过向员工宣教增强员工的安全保护意识。
网络运营者应当对易发生个人信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人信息管理的权限设置,形成相互监督、相互制约的管理机制,切实有效地防止信息泄露或滥用事件的发生。并加强对从业人员的培训,强化从业人员个人信息安全意识,防止从业人员非法使用、泄露、出售个人信息。接触个人信息岗位的从业人员在上岗前,应当书面做出保密承诺。
3.完善日常操作规程
网络运营者应当完善日常操作规程,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
4.制定并定期完善应急预案
根据《个人信息安全规范》第10.1a)条和第10.1b)条,网络运营者应制定个人信息安全事件应急预案。应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。根据《个人信息安全规范》第10.1d)条,根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
根据《互联网个人信息安全保护指南》第7.1条,应急机制和预案……b)应制定个人信息安全事件应急预案,包括应急处理流程、事件上报流程等内容;c)应定期(至少每半年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程,留存应急培训和应急演练记录;d)应定期对原有的应急预案重新评估,修订完善。
据此,网络运营者应当建立数据应急预案,应急预案应包括应急处理流程、事件上报流程等内容。根据业务影响分析,组织开展应急演练(至少每年一次),完善处置流程,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,保证在系统服务异常以及危机等情景下数据的完整、准确和连续。此外,应留存应急培训和应急演练记录,作为潜在的应对监管核查的证明材料。最后,应急预案并非一劳永逸,而应该定期对原有的应急预案进行重新评估,根据网络安全最新的动态和应急演练发现的问题,修订完善应急预案。
5.建立有效的数据治理架构
网络运营者应当通过完善相关内控制度,强化各部门、岗位和人员在用户个人信息保护方面的责任,以此完善内部监督和责任追究机制。对于数据保护组织管理要求,本书后面将进行专章探讨,此处不再展开。
(二)完善应急处置
1.关注网络安全最新动态
网络运营者应保持关注,并通过了解新近执法检查动向和网络安全事件,及时掌握可能出现的数据危机。通过对各项法律法规的及时了解和充分合规,降低因违法违规被处罚的风险;通过对网络环境等的日常评估和针对性检测,降低出现数据泄露、被盗等网络安全事件的可能性。
2.准确判断事件性质
准确判断是及时响应的前提,尤其是对于网络病毒、黑客攻击等网络安全事件而言。一旦网络安全事件爆发,网络运营者需要迅速并准确地判断事件性质,以避免因粗心大意或盲目自信导致对真实事态的误判。在判断事件性质以后,应当确定事件领导小组,评估可能造成的损失和优先保护的部分,迅速对应事先制定的应急预案,确定内部分工和具体操作流程。
3.及时响应采取处置措施
根据《个人信息安全规范》第10.1c)2)条,网络运营者应根据应急响应预案评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。
确定执行方案和人员以后,网络运营者应当对安全事件迅速作出响应,及时执行应急预案,采取补救措施,防止事态进一步扩大。对于监管部门的处罚,应迅速做出整改,明确积极承认错误的谦逊姿态,防止社会信誉进一步降低。
4.准确记录事件内容
根据《个人信息安全规范》第10.1c)1)条,网络运营者应记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门。
准确记录事件内容,是按规定上报和后续准确复盘的基础,有利于监管部门快速了解事件的详细情况,也有助于后续经验教训总结的顺利开展。
5.及时上报主管部门
根据《个人信息安全规范》第10.1c)3)条,网络运营者应按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式。
对此,网络运营者应该上报的主管部门主要是所在地的省(区、市)网信部门,方便网信部门快速了解网络安全事件的情况,判断事件等级,并采取相应的监管措施。
6.安全事件告知
(1)需要告知的情形
根据《个人信息安全规范》第10.1c)4)条,个人信息泄露事件可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露,网络运营者需要实施安全事件的告知。
从实践看,如果出现网络安全事件,造成个人信息泄露,包含个人敏感信息或其他对个人信息主体产生重大影响的信息的可能性相对较高,如果个人信息主体自主采取相应措施能够有效防止潜在损失的发生或防止损失的进一步扩大,建议及时进行安全事件告知。
(2)告知方式
根据《个人信息安全规范》第10.2a)条,网络运营者应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息。
从实践看,能够逐一送达受影响的个人信息主体更好,个人信息主体众多或逐一送达可能时间较长或存在其他影响因素,可以通过发布网站公告等方式送达。为保证送达效果,在受影响个人信息主体众多的情况下,也可以采取公告+逐一送达相结合的方式,最大限度地确保事件相关情况能够送达受影响的个人信息主体。
(3)告知内容
根据《个人信息安全规范》第10.2b)条,网络运营者对安全事件的告知内容应包括但不限于:1)安全事件的内容和影响;2)已采取或将要采取的处置措施;3)个人信息主体自主防范和降低风险的建议;4)针对个人信息主体提供的补救措施;5)个人信息保护负责人和个人信息保护工作机构的联系方式。
对于该等告知内容要求,主要在于确保用户对网络安全事件的知情。告知用户应及时,并且及时解答用户的相关疑问。告知的内容应真实、准确、完整,避免因担心用户恐慌而刻意隐藏或告知虚假内容,否则会引起用户的质疑和不必要的恐慌,给安全事件的处置添加不必要的额外情况。对于个人信息主体自主防范和降低风险的建议,宜提供简单、易懂、便捷的操作方式,如及时修改账号密码等,不应过于烦琐、晦涩难懂。
(三)经验教训总结
在数据安全事件结束之后,网络运营者应当尽快进入经验教训总结阶段,厘清事件始末,并对相关责任人进行处理问责。建议网络运营者从以下几个方面进行经验教训总结:
1.发生原因
网络运营者应当查找事件发生源头、确定事件产生原因,从而发现自身管理和安全措施的薄弱环节,进而在以后加以改进升级,避免事件再次发生。
2.进展过程
根据对于事件进展过程的记录,复盘事件始末,厘清其中的关键环节和重要时间节点,以便加深网络运营者相关人员对于安全事件的理解和体会。
3.解决措施
对于自身所采取的应对措施,应当重新审视,评估其中作用最大、最小的环节,总结预案在执行过程中存在的障碍,从而学习如何更好地解决问题,并按照总结结果及时更新升级应急预案。
4.总结过程
最后,对于经验总结过程本身,网络运营者也应当再次审视,发现经验总结过程中的疏漏与不足,以利于下一次事件发生时更加高效准确地对事件始末进行记录和总结。
[1] 万佳:《2019年数据泄露全年盘点,让人“触目惊心”》,https://tech.sina.com.cn/csj/2019-12-27/doc-iihnzahk0293730.shtml,最后访问时间:2020年2月14日。
[2] 万佳:《2019年数据泄露全年盘点,让人“触目惊心”》,https://tech.sina.com.cn/csj/2019-12-27/doc-iihnzahk0293730.shtml,最后访问时间:2020年2月14日。
[3] 马凯、郭山清:《面向Android生态系统中的第三方SDK安全性分析》,载《软件学报》2018年第5期。
[4] App治理工作组:《注销难,难于上青天,使人听此凋朱颜!》,https://mp.weixin.qq.com/s/jGhnZM8G6Uub65uJVb-CGA,最后访问时间:2020年2月24日。