数据安全事件是数据合规领域最为棘手的难题。企业无法确定安全事件什么时候发生、如何发生,因此具有极强的随机性,但数据安全事件一旦发生就会在短时间内带来巨大的压力。
当数据安全事件发生,个人信息被泄露、网络服务中断、业务无法照常进行,所有的压力都将在一个非常短的时间节点内集中爆发,以往的合规措施、安全策略都可能被拿到放大镜下去审视。在企业治理的角度,数据安全事件也是一个挑战,横向上通常需要跨部门协作应对,纵向上有时需要直达董事会进行决策。
近期,与数据泄露相关的法规频繁更新。美国SEC的数据安全披露规则在2023年12月18日正式启动,要求企业如果确定发生的数据泄露事件是重大的,则需要在4个工作日内披露相关信息;我国的国家互联网信息办公室在2023年12月8日发布《网络安全事件报告管理办法(征求意见稿)》;欧盟委员会与欧洲议会2023年12月就EU Cyber Resilience Act达成的协议中,拟要求制造商需要在发现漏洞后24小时内向欧盟网络安全局(ENISA)报告主动利用的漏洞和事件。各种新规不一而足。
长期以来,我国数据安全事件的报告义务并不清晰,尽管《网络安全法》《数据安全法》《个人信息保护法》等法律法规有相关条款,但更多的是原则性规定,缺少可操作性,报告的时间要求也不甚明了,仅在《计算机信息系统安全保护条例》内有较为明确的24小时内向县级以上公安机关报告的要求。具体报不报、向谁报、怎么报都是问题。
2023年12月,网信办发布《网络安全事件报告管理办法(征求意见稿)》,在对网络安全事件分级的基础上尝试对网络安全事件报告进行规范。该征求意见稿较2021年的《网络数据安全管理条例(征求意见稿)》中的条款更加细致,也更方便实际开展信息报告工作。
(黄春林、李天航,《图解<网络安全事件管理办法(稿)>》,网络与数据法律实务)
在实践中,已经有不少因为瞒报数据安全事件而被处罚的案例。
2023年7月,美国SEC发布了一份新的信息安全事件披露规则,适用于所有在美国公开发行的企业。SEC要求企业在发生重大数据泄露事件后,尽快披露相关信息。具体而言,企业需要披露数据泄露的时间、地点、泄露的数据类型、泄露的数量、泄露的原因、泄露的影响、企业的应对措施以及企业计划采取的措施来防止未来的数据泄露事件。
此外,如果企业认为披露这些信息可能会对国家安全或公共安全构成重大风险,企业可以向司法部门申请延迟披露。需要注意的是,SEC强调及时披露重大网络安全事件的重要性,任何延迟披露的决定都应当经过慎重考虑并且有充分的理由。企业还应当意识到,延迟披露可能会使其面临法律或监管行动,特别是如果延迟导致对投资者或其他利益相关方造成损害。
根据SEC的规定,如果企业确定发生的数据泄露事件是重大的,企业需要在4个工作日内通过8-K表单进行报告,并且后续还需要在10-Q和10-K表单中披露网络安全事件的相关信息。虽然SEC没有提供具体的标准来判断数据泄露是否为重大,但企业需要根据自己的情况进行判断。通常来说,判断数据泄露是否重大,主要考虑以下因素:
1.泄露的数据类型:如果泄露的是敏感信息,如个人身份信息、财务信息、医疗信息等,那么泄露事件可能会对企业和受影响的个人产生重大影响;
2.泄露的数量:如果泄露的数据量很大,那么泄漏事件可能会对企业的经营和财务状况产生重大影响;
3.泄露的影响:如果泄露事件对企业的声誉、客户关系或其他方面产生了重大影响,那么泄露事件可能是重大的;
4.其他相关因素:企业还需要考虑其他与泄露事件相关的因素,如泄露的原因、泄露的时机、企业的应对措施等。
对跨国企业来说,数据安全事件的响应通常可以遵循统一的标准,我国所适用的也是国际标准转化来的《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》(GB/T 20985.2-2020/ISO/IEC 27035-2:2016)与《信息技术安全技术信息安全事件管理第1部分:事件管理原理》(GB/T 20985.1-2017/ISO/IEC 27035-1:2016)(《信息安全事件管理的压力与合规路径》)。
但是,数据安全事件的响应仍然需要在不同地区进行本地化工作,以满足当地监管的特殊要求。在各国(地区)法律中,对于报送的内容已经大差不差,同一份报告模板的正文(报告内容)基本上可以满足不同法域下的内容要求,但各地的法规在报送时间上却大相径庭,这也是跨国企业需要特别关注的地方。
比如一家在美国上市的中国企业,日常会处理欧洲与中国员工、供应商与消费者的个人信息,如果该企业发生数据安全事件,就会同时触发中、美、欧三地的数据安全事件报送义务,尽管报送内容大致相同,但不同地域有着不同的时间框架与起算节点的要求,会影响整个安全事件应对节奏。
此外,中国企业如果向境外执法机构报送数据安全事件,还有一层潜藏的数据出境风险。《数据安全法》第36条规定“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。而无论是欧洲的数据保护机构,还是美国的SEC都有执法权,可以被认定为《数据安全法》下的“外国执法机构”,而我国目前并未与这些机构达成任何协议(我国与SEC的协议是关于审计)。
但是,海外报送的要求与中国出境的监管目前并没有妥善的处理机制,想在国内找到数据安全事件中能受理数据出境审查、评估的部门都不容易,更何况是需要在以小时为单位的紧张状态下去找。这一矛盾可能会在未来的任何时候爆发出来,企业需要提前规划应对该风险的方案,做好取舍。
根据我们协助企业处置数据安全事件的经验,在应对不同区域监管要求的角度,跨国企业可以从以下方面做好准备工作:
1.根据自己的业务范围,客户所在地等地域要素,梳理不同国家、地区关于数据安全事件报送的法律要求。比如美国50个州,每个州的数据安全事件接口单位都不一样,需要提前进行梳理并纳入数据安全事件响应的预案。
2.根据各个国家、地区的监管要求,整理报告截止时间,重点关注数据安全事件报送的接收单位、联系方式、时间要求以及时间的起算节点。
3.报送内容可以使用统一的模板,提前准备好各机构的报送模板和不同语言的翻译版本。
4.进行数据安全事件演练,模拟安全事件发生后各部门的协调能力、报送信息的准确性,动员包括董事会在内的相关部门共同参与演练。
5.监控各区域法规更新情况,随时根据法规的变化情况及时更新公司的应急预案,并评估新规下公司的合规能力与差距。
-
史宇航:法学博士,注册信息安全专业人员(CISP),IAPP CIPM,汇业律师事务所合伙人。