您的位置 : 环球研究 / 环球评论 / 新闻详情
企业对于网络和数据安全事件的防范和处置义务
2023年05月09日孟洁 | 许国盛 | 田梓仪(环球)、赴卜锐 | 陈嘉 | 金圣玉(FTI咨询)

引言

 

2023年4月,欧盟在网络和数据安全领域推出新的立法,主要围绕网络安全事件及个人数据泄露事件展开。首先,在数据安全方面,欧盟于当地时间2023年4月4日正式公布了2022年10月10日向公众征求意见的《关于GDPR下的个人数据泄露通知的第9/2022号指南》(Guidelines 9/2022 on personal data breach notification under GDPR,以下简称“《个人数据泄露通知指南》”),细化《通用数据保护条例》(以下简称“GDPR”)关于个人数据泄露通知的具体要求。并且,于当地时间4月18日提出了《欧盟网络团结法案(EU Cyber Solidarity Act)》,旨在部署一套欧洲网络安全防御系统、建立网络安全应急机制,并于同日公布了对《欧盟网络安全法案(EU Cybersecurity Act)》的针对性修订案。

 

在我国,随着《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)和《中华人民共和国个人信息保护法》(以下简称“《个保法》”)等相关法律法规的颁布和施行,我国监管机构越发重视网络安全和数据安全,企业对于自身网络和数据安全的合规要求也须不断提升。企业网络和数据安全事件的发生往往造成严重的经济损失,对其业务运营产生重大不利影响,因此网络和数据安全事件的防范和处置是网络和数据安全合规非常重要的一环。本文旨在通过分析我国和欧盟监管机构对于企业防范和处置网络和数据安全事件提出的具体要求,为企业构建完善的网络和数据安全事件的防范和处置机制提供支持和建议。

 

一、网络和数据安全事件的防范

 

(一)我国网络和数据安全事件的防范

 

鉴于网络和数据安全事件可能造成的严重后果和危害程度,相对于事件发生后的应急处置,在实践中企业应当注重事件防范。我们梳理了我国相关法律法规对于防范网络和数据安全事件的主要规定:

 

法律法规名称

相关规定

相关法律规定

《网络安全法》

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

《数据安全法》

第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

《个保法》

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定…:(五)制定并组织实施个人信息安全事件应急预案;…

相关法规要求

《网络数据安全管理条例(征求意见稿)》

第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。

第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。…

第二十八条 重要数据处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:…(二)制定实施数据安全保护计划和数据安全事件应急预案;…(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;…

《网络产品安全漏洞管理规定》

第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

《公共互联网网络安全突发事件应急预案》

4.2 预警监测

基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估;认为可能发生特别重大或重大突发事件的,应当立即向部应急办报告;认为可能发生较大或一般突发事件的,应当立即向相关省(自治区、直辖市)通信管理局报告。

7.2 应急演练

电信主管部门应当组织开展公共互联网网络安全突发事件应急演练,提高相关单位网络安全突发事件处置能力。基础电信企业、大型互联网企业、域名机构要积极参与电信主管部门组织的应急演练,并应每年组织开展一次本单位网络安全应急演练,应急演练情况要向电信主管部门报告。

《工业和信息化领域数据安全管理办法(试行)》

第十三条 工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护…(四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;…

第二十七条 …工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。

《证券期货业网络安全事件报告与调查处理办法》

第十七条 核心机构和经营机构应当建立网络安全风险监测预警体系,发现风险隐患应当尽快加以核实,采取必要的防范措施,如有重大情况应当及时进行预警报告。

国家标准

GB/T 35273—2020《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)

10.1 安全事件应急处置和报告

对个人信息控制者的要求包括:

(a)应制定个人信息安全事件应急预案;

(b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;…

 

总的来讲,以上法律法规对于企业防范网络和数据安全提出了四个要求:

 

1. 监测与记录:企业在日常数据处理活动中均应当监测记录网络运行状态、网络安全事件,监测数据处理活动可能产生的风险,接收网络产品安全漏洞信息,互联网企业还应监测、收集网络安全隐患和预警信息(如安全漏洞、病毒和网络攻击的最新动向),并留存相关的监测、接收日志不少于6个月;

 

2. 应急预案、演练:企业应当建立网络安全事件应急预案、个人信息安全事件应急预案和数据安全应急处置机制。另外关键信息基础设施运营者、重要数据处理者和工业和信息化领域数据处理者应当根据应急预案进行应急演练,大型互联网企业还需要将应急演练的情况向电信主管部门(包括工业和信息化部及省、自治区、直辖市通信管理局)报告;

 

3. 漏洞补救:企业如果发现其使用或提供的系统、网络产品和服务存在任何的安全缺陷、漏洞,应当立即进行验证并补救相关缺陷和漏洞,以免造成网络和数据安全事件;

 

4. 评估和报告:互联网企业还应当对发生突发事件的可能性及其可能造成的影响进行分析评估;认为可能发生特别重大或重大突发事件的,应当立即向工业和信息化部网络安全应急办公室报告,认为可能发生较大或一般突发事件的,则应当立即向相关省、自治区、直辖市通信管理局报告;工业和信息化领域数据处理者也应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告;证券期货经营机构(如证券公司、期货公司、基金管理公司等)在发现网络安全重大风险情况时应当向该经营机构住所地的中国证监会派出机构及其进行预警报告,报告内容包括时间基本情况、可能造成的影响和范围、已采取的防范措施及相关建议和需要有关部门和单位协调处置的有关事宜。

 

从上述总结可以看出,监管机构对于不同类型的企业应当采取的网络和数据安全事件防范措施提出了不同程度的要求。对于一般企业而言,由于其处理的数据规模较小,数据类型一般也不涉及重要数据或核心数据,因此其数据处理活动影响国家安全和公共利益的可能性较小,进而监管机构对于其防范措施的要求主要在于日常的风险监测和记录、制定安全事件应急预案以及对于发现的安全缺陷和漏洞进行补救。而对于关键信息基础设施运营者、重要数据处理者、工业和信息化领域数据处理者和大型互联网企业而言,其处理的数据规模往往较大,涉及到的数据类型往往包括重要数据甚至是核心数据和大量敏感个人信息,因此在满足前述一般企业的防范义务之外,这四类企业还需要定期进行网络和数据安全应急演练。除此之外,互联网企业还应当对发生突发事件的可能性及其可能造成的影响进行分析评估,认为可能发生一般及以上的突发事件,应当立即向有关部门履行报告义务;证券期货经营机构也同样需要在发现重大网络安全风险时履行预警报告义务。值得注意的是,虽然《个人信息安全规范》要求所有个人信息控制者至少每年一次进行应急演练,但是,《个人信息安全规范》属于国家推荐性标准,而根据《中华人民共和国标准化法》第二条第三款的规定,国家鼓励采用推荐性标准,因此企业并不会被强制要求执行《个人信息安全规范》的规定。

 

虽然我国目前已有一例重要数据和核心数据认定的案例[1],但是在实践中“重要数据”、“影响国家安全和公共利益”的界定仍然具有不确定性。因此,鉴于企业数据可能被相关行业部门或监管机构认定为重要数据或可能影响国家安全和公共利益的风险,也考虑到《个人信息安全规范》的推荐性要求,我们建议,如果企业的业务场景涵盖了规模较大、种类较多的数据和个人信息,即使该企业不属于上述分析提到的特定类型,并且其数据也没有被认定为重要数据或核心数据,企业应当尽可能履行上述法律法规和国家标准所要求的网络和数据安全防范义务,以确保严格达到合规要求。

 

(二)欧盟网络和数据安全事件的防范

 

自从2020年提出欧盟网络安全战略以来,欧盟也正随着数字时代的发展不断更新、夯实立法,使各成员国维持高水平的网络安全保护标准,确保网络与信息系统的韧性与风险抵御能力。欧盟网络和数据安全事件的预防与管控相关法律法规如下:

 

法律法规名称

相关规定或主要内容

相关法律规定或主要内容概述

欧盟《网络安全条例》提案[2]

第四条 风险管理、治理和控制

1、欧盟的机构、团体和办事处应建立其内部的网络安全风险管理、治理和控制框架,并要求由最高管理层监督,以确保对所有网络安全风险进行有效、谨慎管理。……

2、框架应涵盖整体的IT环境,包括:本地IT环境、云计算环境中或由第三方托管的外包资产和服务、移动设备、公司网络……框架应考虑业务连续性和危机管理、供应链安全、人力风险管理……

4、应建立有效机制确保IT预算中有足够比例用于网络安全。

5、应任命一名网络安全官员或同等职能部门。

第五条 网络安全基准

欧盟的机构、团体和办事处的最高管理层应批准划定内部网络安全基准以解决第四条框架中的识别的风险……

第六条 网络安全成熟度评估

欧盟的机构、团体和办事处应至少每三年进行一次网络安全成熟度评估,内容包括第四条所述IT环境的所有要素,并且需考虑CERT-EU发布的指导文件和建议中所包含的内容。

第七条 网络安全计划

1、在建立风险管理、治理和控制框架以及网络安全基准后,欧盟的机构、团体和办事处的最高管理层应立即根据成熟度评估结果,并考虑第四条项下识别的资产和风险,制定网络安全按计划。计划应当包括……与安全事件准备、响应与恢复有关的措施,例如安全监控和记录。计划应当至少三年内修订一次。……

第八条 实施

1、欧盟的机构、团体和办事处完成成熟度评估后,应将其提交给机构间网络安全委员会(IICB);网络安全计划完成后,应将完成情况通知IICB。……

《欧盟网络团结法案》提案[3]

2、建立网络应急机制,针对重大网络安全事件进行准备工作,包括对于在高度关键行业的运营实体进行协同测试,以便立即作出响应和即时恢复;建立由经过认证的企业组成的欧盟网络安全预备队(EU Cybersecurity Reserve),随时准备应对重大网络事件。

《欧盟网络安全法案》修正案提案[4]

欧盟网络安全局(ENISA)将推动针对信息和通讯技术(ICT)产品和服务建立一个欧洲网络安全认证框架,以此强化对数字单一市场中网络和信息系统安全的监管。2023 年 4 月 18 日,欧盟委员会提出了对《欧盟网络安全法》的针对性修正案,未来将包括托管安全服务的欧洲认证计划,覆盖安全事件响应、渗透测试、安全审计和咨询等领域。企业可以通过该网络安全认证使其产品在欧盟境内更便捷地流通。

《欧盟网络韧性法案》提案[5]

1、制造商应当在数字产品的设计和研发阶段考虑网络安全。

2、投放市场后,制造商必须部署对其数字产品安全性的定期测试和审查,记录已识别的漏洞,并通过提供免费的安全更新来修复。

3、对于非关键产品,制造商需要对产品的安全性进行自评估;对于关键产品,制造商必须申请获得安全标准(例如欧盟网络安全认证计划)或由成员国指定的当局提供第三方合格评定。

相关指令规定

《欧盟2022/2555号网络和信息安全2号指令(NIS 2)》[6]

第二十条 治理

1. 成员国应确保基础实体和重要实体(essential and important entities)[7]的管理机构批准这些实体为遵守第 21 条而采取的网络安全风险管理措施,监督其实施并可就其违反本条规定负责……

2. 成员国应确保要求基础实体和重要实体的管理机构成员接受培训,并鼓励基础实体和重要实体定期为其员工提供类似培训,以便他们获得足够的知识和技能,使他们能够识别风险并评估网络安全风险管理做法及其对实体提供的服务的影响。

第二十一条 网络安全风险管理措施

1. 成员国应确保基础实体和重要实体采取适当和相称的技术、运营和组织措施,以管理这些实体用于运营或提供服务的网络和信息系统安全的风险,并防止或尽量减少事件对其服务接受者和其他服务的影响。……

2. 第1款所指的措施应以解决危害为基础,旨在保护网络和信息系统及其物理环境免受事故影响,并应至少包括以下内容:

(a)风险分析和信息系统安全政策;

(b)事件处理;

(c)业务连续性,例如备份管理和灾难恢复以及危机管理;

(d)供应链安全,包括与每个实体与其直接供应商或服务提供商之间的关系有关的安全方面;

(e)网络和信息系统获取、开发和维护方面的安全,包括漏洞处理和披露;

(f)评估网络安全风险管理措施有效性的政策和程序;

(g)基本网络安全实践和培训;

……

4.成员国应确保发现其未遵守第2款中规定的措施的实体,毫不迟延地采取一切必要、适当和相称的纠正措施。……

 

由此可见,欧盟现已提出多部网络安全法案与指令,逐步建立起一套从产品设计开始全流程的网络安全事件防范机制,推动构建欧盟网络安全事件治理与风险管控的完整法律框架。欧盟的立法倡议或对中国企业有如下启示:

 

1. 建立企业内部网络安全管理体系、制定网络安全整体计划,根据企业所处行业、业务具体情况、对网络和数据风险的敏感程度,采取相应的技术和组织管理措施,为应对可能发生的安全事件作好应急准备。

 

2. 在监测预警并进行网络与数据安全风险评估的基础上,定期组织开展企业内部的网络安全防御机制评估,覆盖网络环境、供应商管理、资金人员投入以及应对安全事件的有效性(如有)等多方面考虑要素,并根据评估结果调整安全计划。

 

3. 尤其对于数字产品制造企业而言,需要在数字产品设计研发的全生命周期贯彻“Cybersecurity By Design and Default”的理念,投入市场前进行风险评估或进行统一认证,投入市场后对产品漏洞进行持续监测并及时上报识别的风险。

 

二、网络和数据安全事件的处置

 

(一)我国网络和数据安全事件的处置

 

尽管企业已尽可能地针对网络和数据安全事件进行防范,但是仍然可能存在不可预见、不可避免和不可控制的外部因素导致网络和数据安全事件的发生。在此情况下,企业便需要采取相应的网络和数据安全事件应急处置措施,将安全事件导致的损失控制到最小,同时避免因为安全事件而收到监管机构的处罚。据此,我们也梳理了我国相关法律法规对于处置网络和数据安全事件的主要规定:

 

法律法规名称

相关规定

相关法律规定

《网络安全法》

第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效处置网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

《数据安全法》

第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

《个保法》

第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。…

相关法规要求

《网络数据安全管理条例(征求意见稿)》

第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:

(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

《公共互联网网络安全突发事件应急预案》

5.2 先行处置

公共互联网网络安全突发事件发生后,事发单位在按照本预案规定立即向电信主管部门报告的同时,应当立即启动本单位应急预案,组织本单位应急队伍和工作人员采取应急处置措施,尽最大努力恢复网络和系统运行,尽可能减少对用户和社会的影响,同时注意保存网络攻击、网络入侵或网络病毒的证据。

《工业和信息化领域数据安全管理办法(试行)》

第二十八条 工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。

《证券期货业网络安全事件报告与调查处理办法》

第十八条 核心机构和经营机构应当建立网络安全应急处置机制,及时处置网络安全事件,尽快恢复系统的正常运行,保护事件现场和相关证据,并按照下列要求进行应急报告:

(一)网络和信息系统发生故障,可能构成网络安全事件的,应当立即报告。可能构成特别重大、重大网络安全事件的,应当每隔30分钟至少上报一次事件处置情况,直至系统恢复正常运行;对较大和一般网络安全事件,第一次上报后,无须持续上报事件处置情况;如有重要情况应当立即报告;

(二)发生涉及犯罪的网络安全事件,应当立即报告。在事件解决前,如有重要情况应当立即报告。

第十九条 核心机构和经营机构进行应急报告时应当先通过电话或事件报送平台进行报告,随后书面报送《网络安全事件情况报告书》。…

第二十条 核心机构和经营机构应当在网络安全事件应急处置结束、系统恢复正常运行后7个工作日内,组织内部调查,准确查清事件经过、原因和损失,查明事件性质,认定并追究事件责任,提出整改措施,并进行事件总结报告。…

国家标准

《个人信息安全规范》

10.1 安全事件应急处置和报告

对个人信息控制者的要求包括:

(a)应制定个人信息安全事件应急预案;

(b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;

(c)发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:

1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;

2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;

3)按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;

4)个人信息泄露事件可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露,按照10.2的要求实施安全事件的告知。

10.2 安全事件告知

对个人信息控制者的要求包括:

a)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;

 

总的来讲,以上法律法规对于企业处置网络和数据安全提出了四个要求:

 

1. 应急处置:发生网络和数据安全事件之后,止损应是第一要务。因此企业均应当立即采取充分有效的应急处置措施,尽快恢复网络系统的正常运营,消除安全隐患,防止损失和危害进一步扩大;

 

2. 保存证据:由于公共互联网企业和证券期货经营机构的性质比较特殊,在发生网络和数据安全事件之后,大量的用户敏感信息和涉及到公共利益的金融信息很有可能会被不法分子非法利用而导致大规模损失和恶劣的社会影响,因此互联网企业和证券期货经营机构需要在采取应急处置措施的同时保存好相关网络攻击、病毒入侵等不法行为的证据,以备日后涉及民事记刑事诉讼之时加以使用。

 

3. 告知个人:一般来讲,只要网络和数据安全事件涉及到个人信息泄露、丢失、非法使用等情形时,企业都应当及时告知用户该等事件情况以及企业已/拟采取的应急处置措施,并提醒用户也需自身采取保护措施,防止自身权益受到进一步损害。如过牵连的用户数量过多或分布范围太广,则企业可以采取在企业网站、相关监管部门网站发布公告或在企业App或小程序首页推送通知的形式告知相关用户;

 

4. 上报相关部门:数据安全事件涉及到重要数据、大量(超过十万人的)个人信息的泄露、损毁、丢失时,企业还应当在事件发生后8小时内和完成事件处置后的5个工作日内分别向市级网信部门和相关主管部门报告;工业和信息化领域数据处理者应当在事件发生后立即向当地行业监管部门报告安全事件情况,并在完成处置之后形成总结报告向当地行业监管部门报告处置情况;证券期货经营机构应当针对一般及以上网络安全事件和可涉及犯罪的网络安全事件立即向住所地中国证监会派出机构进行应急报告,并在网络安全事件应急处置结束、系统恢复正常运行后7个工作日内向住所地中国证监会派出机构提交总结报告。

 

从上述总结可以看出,监管机构对于网络和数据安全事件处置的监管逻辑和本文第二节中所述的事件防范的监管逻辑一致,对于数据规模较小、数据种类较少的一般企业的处置要求主要在于及时采取应急处置措施和告知相关用户安全事件情况和处置措施;对于公共互联网企业而言,由于其具有一定的社会公共属性,掌握的用户信息规模也较大,还需要注意及时保存相关网络攻击和病毒入侵的证据;而对于涉及到重要数据、大量(超过十万人的)个人信息的情形以及工业和信息化领域数据处理者而言,除了履行一般企业的最低限度义务之外,还需分别向网信办和相关的行业监管机构多次提交报告,其内容分别包括安全事件基本信息和处置情况、安全事件影响等信息;对于证券期货经营机构的安全事件处置义务则最为严格,需要履行前述提及的所有处置义务,包括采取应急处置措施、告知相关用户、保存现场和相关证据、以及向其住所地中国证监会派出机构进行上述应急报告和总结报告。

 

《个人信息安全规范》中则要求个人信息控制者履行采取应急处置措施、告知相关用户和向监管部门报告事件影响、处置情况的义务。虽然如本文第二节所述,《个人信息安全规范》不具有强制执行力,但是出于合规性的考量,我们仍然建议企业应当重视网络和数据安全事件的处置工作,在成本可控的范围内尽量采取比较全面的处置措施(包括采取应急措施、告知相关用户或在显著位置发布公告、保存相关证据),并在相关监管机构和行业主管部门的要求下履行上报义务。

 

以下的法律法规对于发生安全事件后,企业采取应急处置和向相关监管机构进行报告的时限要求作出了具体规定:

 

法律法规

具体规定

《网络数据安全管理条例(征求意见稿)》

第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:

(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

《证券期货业网络安全事件报告与调查处理办法》

第十八条 核心机构和经营机构应当建立网络安全应急处置机制,及时处置网络安全事件,尽快恢复系统的正常运行,保护事件现场和相关证据,并按照下列要求进行应急报告:

(一)网络和信息系统发生故障,可能构成网络安全事件的,应当立即报告。可能构成特别重大、重大网络安全事件的,应当每隔30分钟至少上报一次事件处置情况,直至系统恢复正常运行;对较大和一般网络安全事件,第一次上报后,无须持续上报事件处置情况;如有重要情况应当立即报告;

(二)发生涉及犯罪的网络安全事件,应当立即报告。在事件解决前,如有重要情况应当立即报告。

第二十条 核心机构和经营机构应当在网络安全事件应急处置结束、系统恢复正常运行后7个工作日内,组织内部调查,准确查清事件经过、原因和损失,查明事件性质,认定并追究事件责任,提出整改措施,并进行事件总结报告。…

《中国保险监督管理委员会关于加强保险业信息化工作重大事项管理的通知》

三、各公司发生下列网络与信息安全重大事件时,应立即采取措施,妥善处置,并在24小时内向中国保监会报告:

(一)网络中发生有害信息或计算机病毒的大规模传播;

(二)网络或信息系统发生重大系统性故障,造成应用服务中断四小时以上或数据篡改、丢失;

(三)已经确定或可能遭受网络与系统入侵、网络诈骗、网络侵财、网络恐怖等违法犯罪活动;

(四)其它影响网络与信息安全的重大事件。

报告内容包括事件类型、影响范围、损失及危害情况、分析研判结果和已采取的措施等。

《人民银行关于银行业金融机构

做好个人金融信息保护工作的通知》

九、银行业金融机构发生个人金融信息泄露事件的,或银行业金融机构的上级机构发现下级机构有违反规定对外提供个人金融信息及其他违反本通知行为的,应当在事件发生之日或发现下级机构违规行为之日起7个工作日内将相关情况及初步处理意见报告中国人民银行当地分支机构。

中国人民银行分支机构在收到银行业金融机构报告后,应视情况予以处理,并及时向中国人民银行报告。

《北京市网络与信息安全事件应急预案(2012年修订)》

4.1.2 对于较大以上或暂时无法判明等级的事件,事发单位应立即将事件简要情况及联系人通过电话、传真等上报主管部门、监管部门和市通信保障和信息安全应急指挥部办公室,事件详细情况应在1小时内上报。市通信保障和信息安全应急指挥部办公室接到事件报告后,应立即上报市应急办,其中事件详细状况的上报时间不得迟于2小时。重大和特别重大网络与信息安全事件,由市应急办或授权市通信保障和信息安全应急指挥部办公室,在4小时内将事件有关情况报国家应急指挥部办公室。

4.1.3 对于重要系统、三级(含)以上信息系统、涉密系统及敏感时期可能演化为重大、特别重大网络与信息安全事件的信息,事发单位应立即上报,不受时间限制。

 

(二)欧盟网络和数据安全事件的处置

 

根据欧盟的相关法律法规要求,在网络安全事件发生后,欧盟企业应当履行信息共享与通知报告义务。另外,位于关键或重点行业的企业还要履行进一步的安全处置义务,例如欧盟NIS2项下的基础实体和重要实体需要履行更为严格的安全事件通知与报告义务。欧盟相关法律法规供企业参考如下:

 

法律法规名称

相关规定

《欧盟网络安全条例》提案

第十九条 共享义务

1、为了协调漏洞管理和事件响应,欧盟网络安全中心(CERT-EU)可要求欧盟的机构、团体和办事处向其提供各自IT系统清单中的相关信息,被请求对象应及时发送所请求的信息及其后续更新。

2、欧盟的机构、团体和办事处应当应CERT-EU的要求及时向其提供在安全事件中因涉及使用电子设备产生的数字信息。……

第二十条 通知义务

1、所有欧盟的机构、团体和办事处在发现重大网络威胁、重大漏洞和重大事件时,应立即且不得迟于意识到这些事件后的24小时向CERT-EU进行初步通知。

2、欧盟的机构、团体和办事处应立即向CERT-EU进一步通知网络威胁、漏洞和事件的适当技术细节,以实现检测、事件响应或采取缓解措施。通知的内容应当包括:相关妥协指标、相关检测机制、可能的影响、相关缓释措施。……

《欧盟网络韧性法案》提案

第二十一条 制造商的报告义务

1、制造商应在意识到产品漏洞的24 小时内通知ENISA。通知应包括有关该漏洞的详细信息,并在适用的情况下包括所采取的任何纠正或缓解措施。

2、制造商应在意识到任何安全事件的24 小时内通知ENISA。……

4、制造商应在意识到产品漏洞和安全事件时立即通知产品用户,并在必要时通知用户可以采取的减轻事件影响的纠正措施。

7、制造商一旦识别到产品某一组件中的漏洞,包括已嵌入产品的开源组件,应当向维护该组件的个人或实体报告。

《欧盟2022/2555号网络和信息安全2号指令(NIS 2)》

第二十三条 通知义务

1、各成员国应确保基础实体和重要实体向计算机安全事件响应小组(CSIRT)或适用主管机关通知对其提供服务产生重大影响的任何事件,不得无故拖延。在适当情况下,相关实体应及时向服务接受方通知可能影响其服务接受方的重大事件。

2、在适用的情况下,成员国应确保基础实体和重要实体毫不迟延地向可能受重大网络威胁影响的服务接受者通报这些服务接受者能够采取的应对该威胁的任何措施或补救办法。在适当情况下,这些实体还应向这些服务接受者通报重大网络威胁本身。

4、成员国应当确保相关企业向CSIRT或适用主管机关:

(a)在意识到重大事件后的24小时内立即发出预警,在适用的情况下,应说明重大事件是否涉嫌由非法或恶意行为引起,或可能产生跨境影响;

(b)在意识到重大事件后的72小时内发出事件通知,在适用的情况下,应更新(a)点中提到的信息,并说明对重大事件的初步评估,包括其严重程度和影响,以及(如有)妥协指标;

(c)应CSIRT或适用主管机关要求提供相关状态更新的中间报告;

(d)在根据(b)提交事件通知后的最迟一个月内应当提交最终报告,包括:事件的详细描述,包括其严重性和影响;可能触发事件的威胁类型或根本原因;已应用和持续的缓解措施;在适用的情况下,事件的跨境影响;

(e)如果在提交(d)点所述最终报告时事件仍在持续发生,成员国应确保有关实体届时提交进度报告,并在处理事件后一个月内提交最终报告。……

 

针对个人数据泄露事件,欧盟GDPR规定了向监管机关的报告义务以及通知数据主体个人的义务,《个人数据泄露指南》进一步明确了个人数据泄露时的通知流程,并就每一环节涉及的问题作出解释与指引,由此细化了个人数据泄露事件的处置方式。与中国的处置要点类似的是,欧盟对通知和报告的时限、主体、对象、内容和方式做出了详细规定;但不同的是,欧盟以数据泄露对于个人权利和自由的风险程度作为履行通知与报告义务的基础,并通过强制性的记录义务满足监管合规要求。欧盟相关法律法规供企业参考如下:

 

法律法规名称

相关规定或主要内容概述

相关法规规定

GDPR

第三十二条 处理的安全性

1、考虑到现有技术、实施成本和处理的性质、范围、背景和目的,以及自然人权利和自由的不同可能性和严重程度的风险,控制者和处理者应实施适当的技术和组织措施,以确保与风险相适应的安全级别,包括:……

(b)确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力;

(c)在发生物理或技术事件时及时恢复个人数据的可用性和访问权限的能力;

(d)定期测试、评估和评估技术和组织措施的有效性以确保处理安全性的过程。……

第三十三条 向监管机构通知个人数据泄露

1.在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72小时以内,根据第55条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72小时,需要对迟延原因进行解释。

2.在控制者知道发生信息泄露而不当延误时,处理者应当通知控制者。

3.第一款的通知至少应当包括:

(a)对于所泄露的个人数据的性质进行描述,包括相关数据主体以及数据记录的种类和大致数量;

(b)和数据保护局或者是其他获取更多信息的联系点交流名称和联系方式;

(c)描述个人信息泄露的可能情况;

(d)重视个人数据泄露问题,描述控制者采取的或者计划采取的措施,包括在适当情况下能够减轻可能的负面影响的措施。

4.只要没有造成不适当的进一步延误,在信息不可能同时提供的情况下可以分阶段进行。

5.控制者应当记录任何个人数据泄露情况,包括和个人数据泄露有关的事实、影响和采取的补救性措施,这些可以使得监管机构验证行为的合规性。

第三十四条 与数据主体交流个人数据泄露

1.当个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地与数据主体进行交流。

2.本条第一款提到的与数据主体交流,应当至少应当包括第33条第三款的(b)(c)(d)三项所涉及的信息和建议,并且用清晰平实的语言描述个人数据泄露的性质以及内容。

3.以下情况满足时,不适用第一款要求的数据主体交流:

(a)控制者已经采取合适的技术性、组织性保护措施,而且此类措施已经被应用于受到个人数据泄露影响的个人数据之中,尤其是未经授权任何人都无法得知的技术,比如,数据加密技术;

(b)控制者已经采取能够确保第一款所提到的数据主体权利和自由不再面临高风险的措施;

(c)需要不相称的努力。在这样的情况下,应当有一个能够使数据主体获得平等有效通知的公共交流机制或者类似的措施。

4.如果控制者并未就个人数据泄露与数据主体进行交流,考虑到个人数据泄露的高风险,监管机构可以要求控制者这样做或者可以决定其符合第三款列出的任何条件。

相关内容概述

《个人数据泄露通知指南》[8]

1、个人数据泄露事件的认定

个人数据泄露包括对个人数据的保密性、完整性和可用性造成损害。根据个案情况,一旦以合理程度的确定性认为发生了个人数据泄露,即“意识到”个人数据泄露事件,应当迅速采取行动调查,以确定是否发生个人数据泄露。

2、个人数据泄露的风险评估

当确定发生个人数据泄露后,控制者应当立即评估其是否可能对个人的权利与自由带来(高)风险,以确定是否需履行向监管机构报告或通知数据主体的义务。风险包括物理、物质或非物质损害,如歧视、身份盗窃或欺诈、经济损失和名誉损害。评估风险程度时应结合个案综合考虑:导致数据泄露的类型;所泄露的个人数据的性质、敏感性和数量;所泄露的个人数据是否易于识别个人;对个人产生后果的严重性;所涉及个人的特殊性(如影响儿童);数据控制者的特殊性(如医疗组织);受影响的人数;其他评估泄露风险的一般考虑要素,如ENISA发布的相关意见。

3、向监管机构的报告义务

如果认定个人数据泄露很可能会给个人的权利与自由带来风险,则数据控制者应当在意识到个人数据泄露时的72小时内报告(共同控制者之间建议通过合同形式确定发生的通知义务分配;如果处理者在意识到发生个人数据泄露后应立即通知所有涉及的控制者,而无需进行进一步的评估)。对于涉及跨境处理的个人数据泄露,如控制者在欧盟境内有实体,则由该实体上报牵头监管机构 ( lead supervisory authority,LSA),由LSA与各国监管机构进行协调处理;若无,则应通过欧盟代表向所有受影响的数据主体所在成员国监管机构通知。

4、向数据主体的通知义务

如果认定个人数据泄露很可能给个人的权利与自由带来高风险时,控制者应当及时向数据主体通知个人数据泄露。《个人数据泄露指南》还明确了通知需包含的内容以及无需通知的情形。通知可以以电子邮件、短信、显著的网站横幅或通知等专门发送信息的方式进行,且应以接收方可理解的语言呈现。

5、记录与保存的义务

无论是否需要向监管机关报告,数据控制者都应当记录并保存个人数据泄露的情况,包括泄露原因、发生事件、受影响的个人数据、事件后果、所采取的措施和行动等。

 

三、结语

 

随着不同行业的信息技术融合和数字化程度的不断加深,监管机构和相关行业主管部门也将相应地提高对不同行业内发生的网络和数据安全事件的重视,因此,各类企业对于网络和数据安全事件的防范和处置方面的合规也将愈发重要。本文总结和分析了我国现行主要的法律法规和国家标准对于企业防范和处置网络和数据安全事件的具体要求,同时介绍了欧盟对于网络和数据安全事件管理与处置的法律框架,希望能够为企业的合规工作提供一定的借鉴意义;与此同时,企业也应当密切关注日后相关法律法规的制定和更新,及时完善自身的合规措施和制度,确保在此重要问题上的合规性。除此之外,由于防范和处置具体措施和制度存在一定的复杂性,我们也建议企业向专门的数据合规顾问寻求意见与协助,更加系统完整地构建相关合规体系。

 

注释:

[1] 上海市通信管理局组织完成电信和互联网行业首批重要数据和核心数据认定工作,https://mp.weixin.qq.com/s/cn_Bdytwzju_oIZneIC53A。

[2] 参见Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union,https://commission.europa.eu/system/files/2022-03/proposal_for_a_regulation_laying_down_measures_on_cybersecurity_at_euibas.pdf

[3] 参见EU Solidarity Act, https://digital-strategy.ec.europa.eu/en/policies/cyber-solidarity

[4] 参见EU Cybersecurity Act, https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act

[5] 参见EU Cyber Resilience Act,https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

[6] 参见https://digital-strategy.ec.europa.eu/en/library/proposal-directive-measures-high-common-level-cybersecurity-across-union

[7] 参见NIS2第三条对基础实体和重要实体的定义。涵盖公共电子通信网络和服务、数据中心服务、废水和废物管理、关键产品制造、邮政和快递服务、公共管理实体、医疗保健、食品加工企业、社交网络服务平台等多关键行业的服务提供商。

[8] 参见https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202209_personal_data_breach_notification_targetedupdate_en.pdf