个人信息泄露,企业如何对我负责?
15 个人信息泄露,企业如何对我负责?
大数据时代,我们一直处于个人信息风险高发的状态,其中信息泄露尤甚,其巨大的经济利益诱惑、潜在的生命财产威胁成为当今难以回避、必须迎头解决的难题。2018年8月,大型连锁酒店华住集团被曝约5亿条用户数据在暗网出售,旗下包括汉庭、桔子、全季、宜必思等知名连锁酒店均中招。根据出售人在暗网发布的消息,此次泄露的数据包括1.23亿条华住官网注册资料、1.3亿条酒店入住时登记的身份信息、2.4亿条酒店开房记录,包含了姓名、手机号、邮箱、身份证、家庭住址、生日、登录密码、内部ID号、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等个人私密信息。如此重大的信息泄露事件自《网络安全法》实施以来尚属首次,极大威胁了公民的人身财产安全。除了黑客攻击,“内鬼”的破坏力也是惊人的。2020年,圆通员工长期违规异地查询非本网点运单号信息,导致大量客户隐私信息泄露,波及河北、河南、山东等全国多个省市,涉案金额120余万元。当前警方已抓获主要犯罪嫌疑人。
近年来,这样的案件屡屡出现在新闻头条,人们不禁想问:我的信息被泄露了,企业应该承当什么责任?
第一,在搞清这个问题前,我们得确认什么是个人信息泄漏。《个人信息保护法》等相关法律对泄漏进行定义,结合GDPR等国外相关法律,个人信息泄露一般是指违反安全规定,导致意外或非法破坏、丢失、更改、未经授权披露或访问个人数据。这也意味着个人信息泄漏不仅是丢失个人信息,还可能包括未经授权的第三方访问、向错误收件人发送个人信息以及因个人信息控制者故意或意外的行为等。个人信息泄露可以广义地定义为影响个人数据的机密性、完整性或可用性的安全事件,并可分为以下三类:违反数据机密性,有未经授权或意外披露,或查阅个人数据;违反数据完整性,个人数据未经授权或被意外更改;违反数据可用性,发生意外或未经授权的访问,或销毁个人数据。
另外,根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,就属于刑事犯罪。因此,举重以明轻,即使少量的数据泄漏也可能是个人信息泄漏。
第二,企业对掌握的个人信息负有安全责任,应当事先做好各项安全措施和安全制度。《个人信息安全规范》设立了“个人信息安全事件处置”专节,对此作了详细规定。例如,企业应制定个人信息安全事件应急预案,能够有效应对包括蠕虫攻击、木马病毒等网络攻击,做到防患于未然。针对人员管理和培训,企业应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。除此之外,企业还可以开展适当的风险评估,评估自身管理制度是否符合相关要求;采用分级分类的方法限制人员的访问权限,做到必要人员接触必要信息;加强和巩固技术手段,采取适当的组织、物理和技术安全措施,及时了解世界网络安全事件和发展水平,定期更新防控系统,如进行补丁管理和使用适当的反恶意软件检测系统。同时,拥有一套独立的备份将有助于有效应对网络攻击事件等。
第三,当个人信息泄漏时,企业要及时履行补救措施和报告义务。《个人信息保护法》第57条明确规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。例如,一家企业的客户数据库被盗,其数据可能被用来进行身份欺诈,鉴于这些个人可能遭受的经济损失或其他严重后果,企业应当尽快予以通知监管部门和个人。补救措施应当视情况而定,应当记录任何被泄露的个人信息,并通过更改口令、回收权限、断开网络连接等方式控制或消除个人信息的安全风险。这些措施应当遵守两个基本要求:一是一旦知晓泄漏事件必须立即采取补救措施,二是所有的措施应当以最大可能减少个人信息主体的损失或者威胁作为目标。(https://www.daowen.com)
如果个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人。例如,仅仅是员工电话号码及姓名的丢失或被不适当地更改,或者专职医生将不正确的病历发送给另一个专职医生,能够立即通知和安全删除信息的,这些都不太可能对个人的权利和自由造成危险,不需要进行通知。此外,监管部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。
对于通知的内容,《个人信息保护法》采用列举的方式要求企业做好通知工作,包括个人信息泄露的原因、泄露的个人信息种类和可能造成的危害、已采取的补救措施、个人可以采取的减轻危害的措施以及个人信息处理者的联系方式。对于通知的形式,《个人信息安全规范》也进行了规范,要求企业应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息。对于通知的时间,暂时没有明确规定,但结合GDPR等国外相关法律,通常需要立即向监管部门报告个人信息泄漏事件,不得无故拖延,并规定了72小时的时限,如果超过这个时限,还应当说明延误原因。
第四,如果企业没有履行补救措施和通知义务的,还将面临高额的处罚。《个人信息保护法》规定了违反上述义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。此外,此类非法行为还应当依照有关法律、行政法规的规定记入信用档案,并予以公示。这样的处罚力度是前所未有的,这既是顺应了世界各国大力发展数据经济、持续加强数据安全的潮流,也反映了人民群众对于自身个人信息权益的日益关注和切身感受。
2021年1月,欧盟数据保护委员会(EDPB)发布了《数据泄露通知指南》,采取了案例形式更加生动地介绍了企业应当采取的措施。通常,企业雇员有权访问公司数据库,甚至复制业务数据。几个月后,离职后的雇员利用由此获得的数据(主要是基本的联系数据)联系公司的客户,想借此抢走前公司的客源。然而,公司之前没有任何防范措施,也没有采取任何措施来阻止该员工复制公司客户的联系信息,因为这是在职员工正常的业务工作。这其实就是所谓的“内鬼”盗取。这种数据泄露可能是最难防止的,访问范围的限制可能会限定员工所能做的工作。这种类型的破坏通常是对机密性的破坏,因为数据库通常是完整的,其内容“仅仅”被复制以供进一步使用。受到影响的个人信息数量通常不会太高。
在上述情况下,难以减轻数据泄露产生的不利影响。企业首先需要立即采取法律行动,防止前雇员进一步滥用和传播这些数据。企业应当通过发送法律通知等形式,要求前雇员停止使用这些数据。这类事件其实没有“一刀切”的解决办法,但通过强化系统的方法可能有助于预防这种情况的发生。例如,在可能的情况下,公司可能会考虑从那些发出辞职信号的员工那里撤销某些形式的访问,或者执行访问日志,以便记录并标记不需要的访问。与员工签订的合同中应包括禁止此类行为的条款。总而言之,由于发生的数据泄露不会对自然人的权利和自由造成高风险,只需向监管部门发出通知就足够了。然而,根据《个人信息保护法》未达到有效避免信息泄露造成损害的,必须通知个人信息主体。况且,客户得到的信息可能对企业也有好处,因为他们从公司那里听到数据泄露的消息可能比从试图联系他们的前员工那里听到要好。
第五,除了行政救济,个人还可以通过司法救济来保护自己的个人信息权益。《个人信息保护法》明确规定,个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。该条款首次明确了个人信息处理者的先行证明责任,举证责任倒置,要求其先“自证清白”,平衡了个人和企业的举证能力,换言之,企业需要在法庭上先证明自身没有过错。对于赔偿金额的要求与侵权责任法一脉相承,这也是应有之意。