湖南宋牧律师事务所
网络安全风险普遍存在,数据泄露事件经常发生。根据中国互联网络信息中心今年2月发布的报告,工业和信息化部网络安全威胁和漏洞信息共享平台在2021年接报的数据泄露等网络安全事件达88,799件。[1]
数据泄露可能是误操作、软硬件缺陷故障或自然灾害等原因导致的,也可能是网络攻击、网络入侵、恶意程序等违法犯罪行为导致的。[2]泄露的数据可能是个人信息,也可能是非个人信息,或者兼而有之。无论具体情况如何,遭遇数据泄露的企业都面临一个问题:要不要上报监管部门?虽然多部法律规定了企业的上报义务,但规定的角度、方式和触发标准不尽相同,到底如何理解和适用,并非一目了然。
为此,我们结合法律和实践,对数据泄露后的上报义务进行了全面梳理和总结,形成此文,供企业参考。
一、《个人信息保护法》下的报告义务
二、《网络安全法》和《数据安全法》下的报告义务
(1)
根据《国家网络安全事件应急预案》第1.3、4.1条,网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息;该预案所指“网络安全事件”是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
(2)
根据《公共互联网网络安全突发事件应急预案》第1.3、4.1条,互联网企业一旦发生本预案规定的网络安全突发事件,应当立即通过电话等方式向部应急办和相关省(自治区、直辖市)通信管理局报告,不得迟报、谎报、瞒报、漏报;该预案所称“网络安全突发事件”是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的事件。
(1)
根据《国家网络安全事件应急预案》第1.4条,网络安全事件根据影响程度分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件,最低等级的“一般网络安全事件”是指“对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响”的网络安全事件。
(2)
根据《公共互联网网络安全突发事件应急预案》第3.4条,公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件,其中等级最低的“一般事件”标准如下:(a)1个地市大量互联网用户无法正常上网;(b)10万以上互联网用户信息泄露;(c)其他造成或可能造成一般危害或影响的网络安全事件。
(1)
根据《网络数据安全管理条例(征求意见稿)》第11条第2款,发生重要数据或者10万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在发生安全事件的8小时内向设区的市级网信部门和有关主管部门报告事件基本信息;在事件处置完毕后5个工作日内,应向设区的市级网信部门和有关主管部门提交调查评估报告。
(2)
根据《工业和信息化领域数据安全管理办法(试行)(公开征求意见稿)》第28条第3款,在发生涉及重要数据和核心数据的安全事件后,电信领域的数据处理者应当第一时间向地方通信管理局报告;事件处置完成后应当在规定期限内形成总结报告,每年向地方通信管理局报告数据安全事件处置情况。
三、《计算机信息系统安全保护条例》下的报告义务
四、各地监管部门在实践中掌握的口径
(1)
北京网信部门的监管口径为,企业发生数据泄露的,应向网信部门和公安机关报告,同时咨询通信管理局是否需要报告;如数据泄露未引发严重后果,受害企业为保护自身利益可以自愿向其提交书面报告,但不属于强制义务。
(2)
上海通信管理部门的监管口径为,企业发生个人信息、重要数据、核心数据泄露事件的,有义务向通信管理局报告,当地的公共互联网网络安全突发事件应急预案对报告的门槛有规定。此外,企业还应根据网信部门的要求进行上报。对于同一数据泄露事件,企业应同时根据通信管理局和网信部门的要求分别上报。
(3)
广东省通信管理部门的监管口径为,企业发生数据泄露的,应同时向网信部门、通信管理局、公安机关报告,特殊行业的企业还需要向行业主管部门报告,涉及国家秘密泄露的还需向国家保密局报告。
(4)
深圳市网信办部门的监管口径为,企业发生数据泄露的,应向网信部门报告,当地网络与信息安全突发事件应急预案对报告的门槛有规定;对于未达到报告门槛的数据泄露事件,企业可以通过电话等形式与网信部门沟通,但不属于强制义务。
(5)
北京市和深圳市公安机关的监管口径为,企业发生数据泄露的,在不确定是否达到报告门槛的情况下,均应拨打110进行报案。此外,参考公安部关于“净网2021”的开展情况[7],侵犯公民个人信息、黑客攻击破坏等案件均为公安机关“净网”行动打击的重点,企业对网络攻击导致的数据泄露事件更应主动向公安机关上报。
五、处罚案例
六、总结
(1)
如果泄露的是个人信息,对个人权益未造成现实危害且预计将来造成危害的可能性很小,企业可为保护自身利益而自愿上报网信部门或工信部门,不上报无显著法律风险。但为避免企业自身误判,且便于主管部门掌握整体情况,我们建议尽量都上报,可采用电话、邮件等方式快速简单上报,并留存上报记录,后续根据主管部门的反馈来决定是否需要正式书面上报。
(2)
如果泄露的是个人信息,已经或很可能对个人权益造成危害,但对国家安全和社会公共利益无负面影响的(尚未触发地方或行业应急处置门槛),应上报网信部门、工信部门和行业主管部门(如有),不上报的法律责任取决于实际危害后果。
(3)
如果泄露的个人信息涉及10万人以上,或者泄露的是核心数据或重要数据,或者达到地方或行业应急预案规定的其他门槛,则应立即上报应急处置管理部门,并视情况同时上报网信部门、工信部门和行业主管部门,不上报或不及时上报将承担严重的法律责任。
(4)
如果数据泄露事件涉及或可能涉及刑事犯罪或治安管理违法行为,应在24小时内上报公安机关,不上报的法律风险程度取决于案件严重程度。通常而言,数据泄露的原因调查需要花费一定时间,在24小时内企业未必能够准确查明原因,完全排除涉及违法犯罪的可能性,为防止误判,企业宜先通过110电话或当地派出所现场向公安机关报案,再根据内部调查结果和公安机关的指导采取下一步行动。
注释
湖南宋牧律师事务所是一家综合的大型律师事务所,郑贴侨主任以律师职业道德为最基本准则,以追究公平正义为目的,愿意跟天下律师同行一起维护社会正义,诚信做事,诚恳待人,愿一此交往,终身成为朋友。电话微信同号:18907390038。
郑贴侨律师主要做二审为主,做疑难复杂案件为主,喜欢研究法律最前沿,欢迎有这种职业经验的律师一起研讨。
