多年以来,数据安全泄密问题一直呈上升趋势,政府和监管部门也采取了多种应对方式。其中一种应对方式为要求遭受数据安全泄密的组织机构向相关监管部门通报,最重要的是,通知数据遭到破坏的人士。

在此前的一期Red Tape中,我们详细讨论了与网络安全事件有关的一系列法律问题。美国证券交易委员会(SEC)主席玛丽-乔怀特近来把网络安全称作金融系统面临的最大隐患。中国也承认了网络安全对于国家安全的重要性,据去年的报道,中国正在改革自己的网络安全法。2016年5月末,鉴于近期发生多起涉及银行的地区和本地丑闻,香港银行监管机构推出了“网络防卫计划”(链接:http://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2016/20160524e1.pdf)。

本文考查了欧盟以及澳大利亚在其中一项法律问题上的新进展,即数据泄密通知法。

美国在许多年前就已制定强制性数据安全泄密通报法律。加拿大、韩国以及近期的南非也制定了此类法律。在欧盟,当前只对某些部门的企业有此要求(电讯公司)。泄密通报在香港并不是严格的法律要求,但个人资料私隐专员公署和金融监管机构发布的准则对此作出了规定。

欧盟 – 72小时通知

近期最显著的一项进展为欧盟采纳了《一般数据保护条例》(GDPR)。2016年5月4日,欧洲议会和欧洲理事会在欧盟政府公报上发布了《一般数据保护条例》。这是历时五年的立法程序的最后一步。该条例将于2018年5月25日生效。

GDPR规定了以下通知义务:

  • 向相关数据保护监管机构通知个人数据泄露,“不得无故拖延,并且在可行的情况下,在知悉泄密之后72小时之内作出”(第33条);以及
  • “当个人数据泄露可能对自然人的权利和自由造成高风险时”,立即通知数据当事人(第34条)。如果机构认为不存在这样的高风险,但监管机构不同意,则后者有权要求该机构通知数据当事人。

未履行通知义务的机构可能遭受最高1,000万欧元或其上一财政年全球年度营业收入的2%(两者取数额较高的)的行政罚款(第83条第4款)(对于其他违反GDPR的某些行为,罚款可达2,000万欧元或全球营收的4%)。上述责任是该机构对受影响的个人可能负有的任何责任的附加责任。

根据我们的经验,我们预计许多机构会认为在获知数据泄露72小时之内向监管机构作出合理通报不可行。在许多案例中,在该等时限内只能获知数据泄露的程度以及泄露方式的基本信息。

如果数据泄密是由老练的黑客所为,那么该黑客可能已经在机构获悉泄密之前(或部分泄密),对该机构的系统探究了数周或数月。所以,尽管在最初的72小时之内可以确定明显的泄密原因,应对小组通常需要更多的时间来评估该黑客是否发现了系统的其他漏洞。这可能导致向相关监管机构的通知滞后,一旦对风险程度作出了更清晰的评估,最终向数据当事人的通知也因此延后。

我们认为,哪怕是审慎的监管机构也要警惕,如果低风险事件被频繁通知,个人可能会产生逆效性的“通知疲劳”。

澳大利亚

2015年末,澳大利亚政府公布了隐私修正案(严重数据泄密通知)法案草案向公众征询意见。这一举措映衬了澳大利亚支持引入数据泄密通知法的两大主要政党所作的公开声明。政府收到了40多份公众意见书(法案和意见书的原文见此)。2016年4月,政府表示他们计划向国会提交一份法案。不过,在国会因选举解散之前(法案草拟时解散正在进行),尚未提交。

与欧盟规定的72小时通知时限不同,澳大利亚法案的征求意见稿提出的通知时限为在获悉有合理理由相信存在严重数据泄露之后“在可行范围内尽快”。另外,“在可行范围内尽快”的概念被进一步明确,以便机构就是否有合理理由相信严重数据泄露确已发生进行合理的评估,前提是评估在获悉泄露后30日内作出。

在澳大利亚未履行通知义务的最高罚款为180万澳元,比GDPR的规定要低得多。

目前,该法案的进程因澳大利亚大选而被推迟,但两大政党都声称支持该等立法。为此,在澳大利亚运营的机构应做好该等法律在下届政府执政期间出台实施的准备(澳大利亚大选每三年举行一次,故下届大选会在2019年)。

增加通知义务会导致集体索赔纠纷吗?

依据美国法律,已作出通知的大规模数据泄露事件通常会引发集体索赔纠纷。不过,就其在已通知泄漏事件总数中的占比来看,集体诉讼的数量相当少。各项研究表明,只有5%左右的公开通报泄漏事件引发了集体索赔纠纷。

尽管一些备受瞩目的集体诉讼导致了数额巨大的损害赔偿或和解金额,企业在近年来的集体诉讼索赔中更多地取得了胜诉。这可归因于2013年美国最高法院对Clapper案的裁决,该案提高了举证门槛,法院要求首席原告证明他们存在遭受数据泄露造成的损害或损失的实质风险。

法院认为,仅仅是数据丢失而没有证据证明数据被查看或滥用,则构不成适格的损害。不过,并非所有案例都可据此提出抗辩,因为在有些案例中,损害确已发生或者先兆性损害“必然即将发生”。