网络安全风险普遍存在,数据泄露事件经常发生。根据中国互联网络信息中心今年2月发布的报告,工业和信息化部网络安全威胁和漏洞信息共享平台在2021年接报的数据泄露等网络安全事件达88,799件。[1]
数据泄露可能是误操作、软硬件缺陷故障或自然灾害等原因导致的,也可能是网络攻击、网络入侵、恶意程序等违法犯罪行为导致的。[2]泄露的数据可能是个人信息,也可能是非个人信息,或者兼而有之。无论具体情况如何,遭遇数据泄露的企业都面临一个问题:要不要上报监管部门?虽然多部法律规定了企业的上报义务,但规定的角度、方式和触发标准不尽相同,到底如何理解和适用,并非一目了然。
为此,我们结合法律和实践,对数据泄露后的上报义务进行了全面梳理和总结,形成此文,供企业参考。
一、《个人信息保护法》下的报告义务
根据《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第57条,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。据此字面理解,企业一旦发生个人信息泄露,就应上报监管部门。
从上述规定来看,个人信息泄露事件的上报义务,未设门槛,没有豁免或例外,这与其他一些国家的规则不同。多个国家的个人信息保护法律对个人信息泄露上报义务都设有门槛,在未达到门槛的情况下,豁免上报义务。
比如欧盟《通用数据保护条例》[3]规定,如果个人数据泄露对于自然人的权利与自由不太可能会带来风险,就不需要报告。美国《健康保险携带和责任法案》规定,如果有理由认为数据泄露中受保护的健康信息未受到损害的,就无需报告。[4]美国《加利福尼亚州民法》规定,如果数据泄露事影响的居民少于500名的,就无需报告。[5]日本《个人信息保护法》规定,如果个人信息安全事件损害个人利益或权益的可能性很小,就无需报告。[6]
综合上述各国的规定,发生个人信息泄露事件后是否需要上报监管部门,取决于后果的严重程度,如果预计个人信息泄露不会对个人带来危害,或者造成危害的可能性很小,或者影响范围(一般是指受影响人数)未达到规定标准,企业可以不上报。比如,如果企业泄露的数据是加密的,第三方破解的可能性很小,则损害个人权益的可能性很小,企业就可以不上报。
早期工信部发布的《电信和互联网用户个人信息保护规定》(2013年)采用的与国外相似的规则,其第14条规定,发生数据泄露事件,“造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告”。
如此制度设计的逻辑不难理解:个人信息泄露事件频繁发生,如果不论危害后果,一律都要求上报,于保护个人权益无益,反而徒增企业和监管者的负担。故以危害后果为标尺,设定一定的上报门槛,给予适当的豁免,是比较合理的。
虽然《个人信息保护法》第57条没有为上报义务设置门槛或给予豁免,但是根据第66条,企业未履行上报义务,面临的行政处罚是分级的:最轻的处罚是责令改正,给予警告,没收违法所得,责令暂停或终止相关应用程序服务;拒不改正的,才会被处以罚款;情节严重的,才会被处以高额罚款,停业整顿,吊销相关业务许可或营业执照。结合执法实践,可以合理地认为,如果个人信息泄露没有造成实际危害,企业没有上报泄露事件,一般处罚很轻,甚至不会给予处罚。
结合上述法律责任规定和执法实践来看,《个人信息保护法》下的上报义务不是绝对的,企业仍然有一定的灵活空间,关键是看是否可能对个人权益造成影响。如果对个人权益没有实际影响或影响的可能性很小,企业可以选择不报告而无显著的违法风险;如果对个人权益有实际影响,则应当报告。如果对于个人权益影响难以判断,则建议上报。
如果更进一步,个人信息泄露事件不但对个人有实际影响,而且影响的范围达到一定程度(如受影响的个人达到10万人以上),此时就不仅仅是个人权益保护的问题,而是涉及公共安全和公共利益,会触发网络安全应急处置义务,详见下节论述。
二、《网络安全法》和《数据安全法》下的报告义务
与《个人信息保护法》旨在保护个人权益不同,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)和《中华人民共和国数据安全法》(以下简称“《数据安全法》”)侧重于保护国家安全和公共利益。因此,《网络安全法》和《数据安全法》之下的数据泄露上报义务被纳入了网络安全应急管理体系中。
根据《网络安全法》第25条,网络运营者应在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。根据《数据安全法》第29条,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
企业不履行报告义务的,应承担行政责任。根据《网络安全法》第59条、《数据安全法》第45条,企业不履行报告义务的,由有关主管部门视情节或后果责令改正,给予警告,或处以罚款。
《网络安全法》和《数据安全法》要求“按照规定”上报,这里的“规定”指向的是网络安全应急管理体系,其顶层文件为国家网信办于2017年发布的《国家网络安全应急预案》。在该国家层面的应急预案之下,相关部门和地区分别制定了各自领域或地区的应急预案,比如针对公共互联网领域,工信部于2017年发布了《公共互联网网络安全突发事件应急预案》;在地方,各省市分别制定了的地方性应急预案,如北京市通信管理局于2019年发布的《北京市公共互联网网络安全突发事件应急预案》、上海市通信管理局于2018年发布的《上海市公共互联网网络安全突发事件应急预案》等。
此外,还有多个文件草案援引网络安全应急管理体系或与之衔接,包括公安部于2018年发布的《网络安全等级保护条例(征求意见稿)》第32条、国家网信办于2021年发布的《网络数据安全管理条例(征求意见稿)》第11条和第56条、工信部于2022年发布的《工业和信息化领域数据安全管理办法(试行)(公开征求意见稿)》第28条。
《国家网络安全事件应急预案》和《公共互联网网络安全突发事件应急预案》的规定具体如下:
(1)
根据《国家网络安全事件应急预案》第1.3、4.1条,网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息;该预案所指“网络安全事件”是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
(2)
根据《公共互联网网络安全突发事件应急预案》第1.3、4.1条,互联网企业一旦发生本预案规定的网络安全突发事件,应当立即通过电话等方式向部应急办和相关省(自治区、直辖市)通信管理局报告,不得迟报、谎报、瞒报、漏报;该预案所称“网络安全突发事件”是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的事件。
由上述规定可见,在网络安全应急管理体系下,企业的上报义务及其他应急处置义务适用于对社会构成一定威胁或影响的数据泄露事件;如果数据泄露只对涉事企业本身或少量用户造成影响,未对社会或公众利益造成影响,则不会触发上报义务。
关于数据泄露事件影响范围的判断标准,《国家网络安全事件应急预案》和《公共互联网网络安全突发事件应急预案》的规定如下:
(1)
根据《国家网络安全事件应急预案》第1.4条,网络安全事件根据影响程度分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件,最低等级的“一般网络安全事件”是指“对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响”的网络安全事件。
(2)
根据《公共互联网网络安全突发事件应急预案》第3.4条,公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件,其中等级最低的“一般事件”标准如下:(a)1个地市大量互联网用户无法正常上网;(b)10万以上互联网用户信息泄露;(c)其他造成或可能造成一般危害或影响的网络安全事件。
此外,《网络数据安全管理条例(征求意见稿)》和《工业和信息化领域数据安全管理办法(试行)(公开征求意见稿)》的规定的标准也具有参考意义:
(1)
根据《网络数据安全管理条例(征求意见稿)》第11条第2款,发生重要数据或者10万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在发生安全事件的8小时内向设区的市级网信部门和有关主管部门报告事件基本信息;在事件处置完毕后5个工作日内,应向设区的市级网信部门和有关主管部门提交调查评估报告。
(2)
根据《工业和信息化领域数据安全管理办法(试行)(公开征求意见稿)》第28条第3款,在发生涉及重要数据和核心数据的安全事件后,电信领域的数据处理者应当第一时间向地方通信管理局报告;事件处置完成后应当在规定期限内形成总结报告,每年向地方通信管理局报告数据安全事件处置情况。
在特殊行业,如金融行业,因其数据泄露更有可能危及国家安全和公共利益,故上报义务的触发门槛更低。比如,根据《上海市处置金融突发事件应急预案(2015版)》,本市某一金融机构或其他金融领域局部发生数据泄露,并可能在该机构内部或小范围跨系统扩大的,就需要上报。另据《深圳市金融突发事件应急预案》,涉及区内某个区域,该区域所属的区政府(新区管委会)或其相关金融行业监管部门能单独应对,仅在该区域造成影响的数据泄露事件,就需要上报。
综上,在网络安全应急管理体系下,企业发生数据泄露时,是否需要上报监管部门,取决于数据泄露事件是否会对国家安全、社会公共利益造成负面影响,具体判断标准为包含核心数据、重要数据或10万人以上个人信息;如果所属地方或行业有更加严格的要求(即更低的上报门槛),则应按照所属地方或行业的规定执行。
三、《计算机信息系统安全保护条例》下的报告义务
企业对网络空间中发生的案件有义务向公安机关报告。根据《中华人民共和国计算机信息系统安全保护条例》(以下简称“《系统安全保护条例》”)第14条,“对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。”根据第20条,如果企业不按照规定时间报告,公安机关可处以警告或停机整顿的行政处罚。
《网络安全等级保护条例(征求意见稿)》基本延续了上述规定,其第20条第10项规定,“对网络中发生的案事件,应当在二十四小时内向属地公安机关报告。”根据第63条,怠于履行该义务的,监管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,对企业和直接责任人员处以罚款。
上述规定与网络安全应急管理体系不同,没有使用“安全事件”“应急处置”等词语,而是使用“案件”或“案事件”等表述。根据国家机关的职责划分,公安机关在网络安全方面的职责是刑事侦查、治安管理以及计算机信息系统安全保护的监管管理。因此,我们理解,在《系统安全保护条例》下,企业发生数据泄露时的上报义务以涉及或可能涉及刑事案件或治安/安全管理案件为前提。
根据《中华人民共和国刑法》(以下简称“《刑法》”)第285、286条,与数据泄露事件相关的刑事犯罪主要包括侵犯公民个人信息罪、非法入侵系统罪、非法获取数据罪、非法控制系统罪、破坏系统罪等。如果数据泄露事件涉及或可能涉及这些刑事犯罪,企业应当在24小时内向公安机关报案。
根据《中华人民共和国治安管理处罚法》第29条,与数据泄露事件相关的治安管理案件包括:(1)违反国家规定,侵入计算机信息系统,造成危害的;(2)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;(3)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(4)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。这些违法行为与上述刑事犯罪的行为特征相似,只是情节或后果未达到刑事追诉标准。如果数据泄露事件涉及或可能涉及这类违法行为,企业也应当在24小时内向公安机关报案。
两相对比,可以发现,网络安全应急管理体系下的上报义务旨在维护国家安全和公共利益,而系统安全保护监管体系下的报案义务旨在打击违法犯罪。前者关注的是数据泄露的后果,而无论造成数据泄露的是人为原因还是客观原因;后者关注的是数据泄露的原因,即数据泄露是否因违法犯罪行为引发。可以认为,因为故障、缺陷、误操作等非违法犯罪活动引发的数据泄露,不触发报案义务。
综上,在公安机关系统安全保护监管体系下,企业发生数据泄露时,是否需要向公安机关报案,取决于是否构成或可能构成刑事案件或治安管理案件。
四、各地监管部门在实践中掌握的口径
根据我们处理数据泄露事件的经验以及与监管部门沟通的情况,当前部分地方监管部门在实践中掌握的口径如下:
(1)
北京网信部门的监管口径为,企业发生数据泄露的,应向网信部门和公安机关报告,同时咨询通信管理局是否需要报告;如数据泄露未引发严重后果,受害企业为保护自身利益可以自愿向其提交书面报告,但不属于强制义务。
(2)
上海通信管理部门的监管口径为,企业发生个人信息、重要数据、核心数据泄露事件的,有义务向通信管理局报告,当地的公共互联网网络安全突发事件应急预案对报告的门槛有规定。此外,企业还应根据网信部门的要求进行上报。对于同一数据泄露事件,企业应同时根据通信管理局和网信部门的要求分别上报。
(3)
广东省通信管理部门的监管口径为,企业发生数据泄露的,应同时向网信部门、通信管理局、公安机关报告,特殊行业的企业还需要向行业主管部门报告,涉及国家秘密泄露的还需向国家保密局报告。
(4)
深圳市网信办部门的监管口径为,企业发生数据泄露的,应向网信部门报告,当地网络与信息安全突发事件应急预案对报告的门槛有规定;对于未达到报告门槛的数据泄露事件,企业可以通过电话等形式与网信部门沟通,但不属于强制义务。
(5)
北京市和深圳市公安机关的监管口径为,企业发生数据泄露的,在不确定是否达到报告门槛的情况下,均应拨打110进行报案。此外,参考公安部关于“净网2021”的开展情况[7],侵犯公民个人信息、黑客攻击破坏等案件均为公安机关“净网”行动打击的重点,企业对网络攻击导致的数据泄露事件更应主动向公安机关上报。
五、处罚案例
根据我们对公开信息的检索,公安机关调查和处罚的案例主要针对的是企业或个人的违法行为,而非怠于上报的行为。比如,因个人违法行为或工作失职导致个人信息泄露事件,公安对个人进行治安管理处罚[8];因企业未履行网络安全等级保护义务或安全管理义务导致个人信息泄露,公安机关对企业进行治安管理处罚[9]。
在金融行业,确实发生过多起因未及时上报网络安全事件而被行业主管部门处罚的案例,比如:某银行发生重要信息系统突发事件未向监管部门报告,被北京银保监局处罚40万;某银行因发生重要信息系统突发事件未报告、互联网门户网站泄露敏感信息等违法违规行为,被中国银保监会处罚420万元;某证券公司因重大信息安全事件未报告,江苏证监局向该公司出具警示函,要求该公司强化内控,加强管理,做好相关信息安全工作。
六、总结
综合上述各项法律规定,我们对企业发生数据泄露事件时的上报义务总结如下,企业应根据所属行业和地区的实际情况具体判断:
(1)
如果泄露的是个人信息,对个人权益未造成现实危害且预计将来造成危害的可能性很小,企业可为保护自身利益而自愿上报网信部门或工信部门,不上报无显著法律风险。但为避免企业自身误判,且便于主管部门掌握整体情况,我们建议尽量都上报,可采用电话、邮件等方式快速简单上报,并留存上报记录,后续根据主管部门的反馈来决定是否需要正式书面上报。
(2)
如果泄露的是个人信息,已经或很可能对个人权益造成危害,但对国家安全和社会公共利益无负面影响的(尚未触发地方或行业应急处置门槛),应上报网信部门、工信部门和行业主管部门(如有),不上报的法律责任取决于实际危害后果。
(3)
如果泄露的个人信息涉及10万人以上,或者泄露的是核心数据或重要数据,或者达到地方或行业应急预案规定的其他门槛,则应立即上报应急处置管理部门,并视情况同时上报网信部门、工信部门和行业主管部门,不上报或不及时上报将承担严重的法律责任。
(4)
如果数据泄露事件涉及或可能涉及刑事犯罪或治安管理违法行为,应在24小时内上报公安机关,不上报的法律风险程度取决于案件严重程度。通常而言,数据泄露的原因调查需要花费一定时间,在24小时内企业未必能够准确查明原因,完全排除涉及违法犯罪的可能性,为防止误判,企业宜先通过110电话或当地派出所现场向公安机关报案,再根据内部调查结果和公安机关的指导采取下一步行动。
最后需要说明的是,本文只限于讨论发生数据泄露事件后要不要上报,以及不上报的法律后果,企业的其他法律义务和责任不在本文讨论范围。如果数据泄露是因为企业没有落实网络安全义务导致的,或者涉及非法提供个人信息,则企业还将面临其他法律风险。
注释
