全球個(gè)人信息泄露態(tài)勢(shì)及應(yīng)對(duì)思路

張博卿

近年來，全球數(shù)據(jù)泄露事件頻發(fā)。賽迪智庫網(wǎng)絡(luò)安全研究所分析了2019年全球71起較大的數(shù)據(jù)泄露事件后發(fā)現(xiàn)，個(gè)人信息是數(shù)據(jù)泄露的重災(zāi)區(qū)，數(shù)據(jù)庫未能正確配置和黑客攻擊是個(gè)人信息泄露的主要原因，政府部門的個(gè)人信息泄露事件不容忽視。在總結(jié)主要國家應(yīng)對(duì)個(gè)人信息泄露舉措的基礎(chǔ)上，提出三點(diǎn)建議：細(xì)化數(shù)據(jù)泄露通知相關(guān)規(guī)定;加大對(duì)數(shù)據(jù)泄露的處罰力度，豐富處罰手段;建立數(shù)據(jù)泄露主動(dòng)監(jiān)測(cè)系統(tǒng)。

全球數(shù)據(jù)泄露高發(fā)

個(gè)人信息保護(hù)形勢(shì)嚴(yán)峻

個(gè)人信息是數(shù)據(jù)泄露的重災(zāi)區(qū)。個(gè)人信息泄露引發(fā)的網(wǎng)絡(luò)身份盜竊往往會(huì)導(dǎo)致金融詐騙、信用欺詐等后果出現(xiàn)，成為黑客的重點(diǎn)關(guān)照對(duì)象，也是暗網(wǎng)中銷售的主要數(shù)據(jù)類型。

一是幾乎所有數(shù)據(jù)泄露事件都涉及個(gè)人信息。在71起數(shù)據(jù)泄露事件中，涉及個(gè)人信息的有68起，姓名、聯(lián)系方式等身份標(biāo)識(shí)信息被普遍泄露，累計(jì)超過48億人次的個(gè)人信息被泄露，發(fā)生在美國的數(shù)據(jù)泄露事件最多，占比39%。二是醫(yī)療和社交領(lǐng)域個(gè)人數(shù)據(jù)泄露規(guī)模較大。個(gè)人醫(yī)療信息泄露事件占比15%，德國研究機(jī)構(gòu)調(diào)查了全球2300個(gè)醫(yī)學(xué)圖像存檔系統(tǒng)，發(fā)現(xiàn)來自52個(gè)國家的2430萬份患者的數(shù)據(jù)能夠公開訪問，其中包含7.37萬張高清醫(yī)學(xué)圖像，我國14個(gè)服務(wù)器泄露了27.9萬份患者數(shù)據(jù)。在個(gè)人社交信息方面，累計(jì)超過12億人次的臉書用戶信息被泄露，主要是美國、英國和越南的臉書用戶受到較大影響。三是部分大型互聯(lián)網(wǎng)企業(yè)的用戶個(gè)人信息泄露頻繁。一方面，泄露來自大型互聯(lián)網(wǎng)企業(yè)未能管控好第三方應(yīng)用程序。今年4月，臉書連續(xù)發(fā)生兩起個(gè)人信息泄露事件，分別由第三方應(yīng)用程序CulturaColectiva和AtthePool導(dǎo)致，有超過5.5億臉書用戶數(shù)據(jù)被泄露。另一方面，黑客技術(shù)導(dǎo)致大型互聯(lián)網(wǎng)企業(yè)用戶個(gè)人信息泄露。今年7月，以色列網(wǎng)絡(luò)安全公司NSO集團(tuán)開發(fā)了能夠從蘋果、谷歌、臉書、亞馬遜和微軟云服務(wù)器中獲取敏感數(shù)據(jù)的惡意軟件，該公司的相關(guān)產(chǎn)品已被多個(gè)間諜機(jī)構(gòu)和政府使用。四是政府部門造成公民個(gè)人信息被大規(guī)模泄露。今年7月，有超過500萬的保加利亞人（占總?cè)丝诒壤?1.4%）稅務(wù)信息被泄露;8月，超過1430萬智利人（占總?cè)丝诒壤?0%）的選舉相關(guān)信息被泄露;9月，厄瓜多爾全民個(gè)人信息和部分已死亡的公民信息被泄露，或?qū)砣珖孕庞煤徒鹑谠p騙猖獗。

數(shù)據(jù)庫未得到正確配置和黑客攻擊是個(gè)人信息被泄露的主因，必須高度關(guān)注多源數(shù)據(jù)融合致使個(gè)人信息被挖掘。導(dǎo)致數(shù)據(jù)泄露的原因多種多樣，包括云上數(shù)據(jù)庫未得到正確配置、網(wǎng)絡(luò)釣魚、勒索攻擊、機(jī)構(gòu)內(nèi)部泄露、多源數(shù)據(jù)匯聚后被挖掘分析等。一是有40.8%的數(shù)據(jù)泄露事件是由數(shù)據(jù)庫未得到正確配置所致。部分企業(yè)數(shù)據(jù)庫未加密且沒有任何身份認(rèn)證措施，致使數(shù)據(jù)可通過互聯(lián)網(wǎng)被公開訪問，特別是云上數(shù)據(jù)安全堪憂，占比15.2%的數(shù)據(jù)泄露事件源于托管在亞馬遜和微軟云服務(wù)器上的數(shù)據(jù)庫能夠被公開訪問。二是占比27.8%的數(shù)據(jù)泄露事件是黑客攻擊所致。今年2月份，以色列加密貨幣交易平臺(tái)Coinmama被黑客攻擊，用戶電子郵件和哈希密碼泄露。三是多源數(shù)據(jù)融合導(dǎo)致個(gè)人信息被挖掘也是數(shù)據(jù)泄露的一種形式。盡管在爬蟲等應(yīng)用逐漸增多的情況下，這些數(shù)據(jù)可能是通過公開渠道合法采集的。例如，去年11月，研究人員發(fā)現(xiàn)了一個(gè)涉及12億人信息的公開數(shù)據(jù)庫，該數(shù)據(jù)庫中的信息采集自臉書、Linkedln、Twitter、GutHub等網(wǎng)站和一些數(shù)據(jù)經(jīng)紀(jì)人，其數(shù)據(jù)來源合法，但研究人員發(fā)現(xiàn)其中多源數(shù)據(jù)融合導(dǎo)致的隱私問題極多。

政府部門個(gè)人信息泄露現(xiàn)象不容忽視。政府部門匯聚和掌控了大量涉及國家安全和個(gè)人隱私的數(shù)據(jù)，在2019年的數(shù)據(jù)泄露事件中，由于政府門戶網(wǎng)站被攻擊或存在嚴(yán)重漏洞、政府云上數(shù)據(jù)庫未得到正確配置等原因?qū)е碌臄?shù)據(jù)泄露事件占比達(dá)7%。71.4%的保加利亞國民個(gè)人信息、679萬印度國民個(gè)人信息（存儲(chǔ)在印度國家身份認(rèn)證系統(tǒng)Aadhaar中）等，均是從政府部門直接泄露;澳大利亞泄露國民18億條出行信息，則是由于政府部門在開放數(shù)據(jù)過程中未能做好數(shù)據(jù)脫敏，致使個(gè)人信息被重新識(shí)別。上述事件表明，政府部門必須高度重視數(shù)據(jù)安全方面的工作。

主要國家應(yīng)對(duì)個(gè)人信息

泄露的舉措

在立法和標(biāo)準(zhǔn)制訂層面，制定和完善數(shù)據(jù)泄露通知制度。數(shù)據(jù)泄露通知是指數(shù)據(jù)控制者將泄露情況通知給監(jiān)管機(jī)構(gòu)和受影響自然人的制度。全球數(shù)據(jù)泄露通知立法始于美國加利福尼亞州2002年出臺(tái)的《數(shù)據(jù)安全泄露法》，隨后被歐盟、韓國、澳大利亞、新加坡、加拿大等國家或地區(qū)廣泛采納。

一是美國各州制定《數(shù)據(jù)泄露通知法》，對(duì)金融和醫(yī)療等行業(yè)立法也做出了相關(guān)規(guī)定。美國《數(shù)據(jù)泄露通知法》普遍規(guī)定了適用主體范圍、PII（可識(shí)別個(gè)人信息）的定義、觸發(fā)通知的要素、評(píng)估損失和通知公眾的程序、賠償及具體實(shí)施機(jī)構(gòu)、罰款規(guī)則等。在州政府層面，隨著2018年南達(dá)科他州和阿拉巴馬州頒布《數(shù)據(jù)泄露通知法》，全美50個(gè)州均實(shí)現(xiàn)了數(shù)據(jù)泄露通知的專門立法。近兩年，阿肯色州、伊利諾伊州、緬因州、新澤西州等開展了《數(shù)據(jù)泄露通知法》的修訂工作，重點(diǎn)是擴(kuò)大PII定義、縮短通知時(shí)間、增加泄露主體機(jī)構(gòu)在數(shù)據(jù)泄露后的信用監(jiān)控職責(zé)等。例如，阿肯色州、新澤西州分別將生物識(shí)別數(shù)據(jù)、用戶網(wǎng)上賬戶納入PII的范疇;緬因州將數(shù)據(jù)泄露后需告知受影響公眾的時(shí)間改為30天;康涅狄格州則要求企業(yè)向社保號(hào)遭到泄露的個(gè)人提供兩年的免費(fèi)身份盜竊防護(hù)服務(wù)和補(bǔ)救服務(wù)。在行業(yè)層面，聯(lián)邦預(yù)算管理辦公室的《健康保險(xiǎn)責(zé)任法》《金融服務(wù)法現(xiàn)代化法案》等對(duì)相應(yīng)行業(yè)個(gè)人信息泄露通知進(jìn)行了規(guī)定。在州立法和聯(lián)邦立法協(xié)同方面，州立法普遍增加了“安全港”準(zhǔn)則，即醫(yī)療健康、金融等個(gè)人信息被泄露時(shí)，應(yīng)遵守聯(lián)邦立法的規(guī)定。二是歐盟GDPR做出相關(guān)規(guī)定。GDPR規(guī)定，個(gè)人數(shù)據(jù)被泄露時(shí)，控制者應(yīng)當(dāng)在知道之時(shí)起72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告，除非不會(huì)給自然人權(quán)利和自由造成風(fēng)險(xiǎn);若可能給自然人權(quán)利和自由造成高風(fēng)險(xiǎn)，則需要通知數(shù)據(jù)主體。截至今年1月底，各企業(yè)向歐洲經(jīng)濟(jì)區(qū)內(nèi)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)通報(bào)的個(gè)人數(shù)據(jù)泄露事件已達(dá)160921起。三是韓國、澳大利亞、加拿大、新加坡等效仿美、歐建立數(shù)據(jù)泄露通知制度。例如，韓國《信息通信網(wǎng)絡(luò)的利用促進(jìn)與信息保護(hù)等相關(guān)法》、加拿大《個(gè)人信息保護(hù)和電子文檔保護(hù)法案》、新加坡《2020年個(gè)人數(shù)據(jù)保護(hù)法案（修訂法案）》等。其中，加拿大的法案還要求組織保留個(gè)人信息泄露記錄，保留期限至少兩年，該記錄將成為隱私專員辦公室判斷組織是否違反法案的依據(jù)。新加坡今年5月發(fā)布的《2020年個(gè)人數(shù)據(jù)保護(hù)法案（修訂法案）》，在2012年個(gè)人數(shù)據(jù)保護(hù)法的基礎(chǔ)上引入了強(qiáng)制性數(shù)據(jù)泄露通知的規(guī)定。為幫助數(shù)據(jù)控制者評(píng)估數(shù)據(jù)泄露對(duì)個(gè)人潛在危害的程度，新加坡通信和信息部、個(gè)人數(shù)據(jù)保護(hù)委員會(huì)將制定一個(gè)數(shù)據(jù)目錄，包括駕駛證號(hào)碼、信用卡號(hào)碼、居民身份證號(hào)等，此類數(shù)據(jù)一旦泄露將對(duì)個(gè)人造成重大危害。四是在標(biāo)準(zhǔn)指南制定層面，指導(dǎo)數(shù)據(jù)控制者落實(shí)數(shù)據(jù)泄露通知責(zé)任。歐盟多家數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)現(xiàn)，長期以來數(shù)據(jù)控制者一直存在數(shù)據(jù)泄露通知不及時(shí)、不充分、重復(fù)通知，以及難以評(píng)估數(shù)據(jù)泄露風(fēng)險(xiǎn)等級(jí)等問題。為此，2018年11月—2019年10月，歐洲數(shù)據(jù)保護(hù)專員公署、波蘭個(gè)人數(shù)據(jù)保護(hù)局、愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)先后發(fā)布了個(gè)人信息泄露通知相關(guān)指南，明確了數(shù)據(jù)泄露通知包含的要素、通知監(jiān)管機(jī)構(gòu)和個(gè)人的方式、通知時(shí)間、風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素等，并要求數(shù)據(jù)控制者留存數(shù)據(jù)泄露事件、通知及采取的補(bǔ)救措施等相關(guān)記錄，監(jiān)管機(jī)構(gòu)將對(duì)記錄進(jìn)行訪問，以驗(yàn)證相關(guān)行為是否合法。

在執(zhí)法層面，加大對(duì)數(shù)據(jù)泄露主體的處罰力度。歐盟、美國等國家和地區(qū)普遍對(duì)未能采取有效措施而導(dǎo)致個(gè)人數(shù)據(jù)泄露的組織采取罰款等形式進(jìn)行處罰。例如，2019年7月，美國征信巨頭Equifax被FTC罰款5.75億美元，因?yàn)槠?017年未能在數(shù)據(jù)庫中及時(shí)完善ApacheStruts框架且在發(fā)現(xiàn)該問題數(shù)周內(nèi)未及時(shí)通知監(jiān)管機(jī)構(gòu)和公眾，導(dǎo)致美國近1.5億人的財(cái)務(wù)信息被泄露;Equifax還承諾，要為消費(fèi)者提供現(xiàn)金補(bǔ)償，并每?jī)赡觊_展一次信息安全計(jì)劃的第三方評(píng)估。2019年7月，萬豪國際酒店被英國信息專員辦公室罰款1.24億美元，原因是其泄露了3.83億用戶的個(gè)人信息，同時(shí)未能及時(shí)通知和報(bào)告數(shù)據(jù)泄露情況。此外，2019年，醫(yī)療機(jī)構(gòu)CottageHealth和Touchstone醫(yī)學(xué)影像、臉書均因數(shù)據(jù)泄露分別被美國、巴西的主管機(jī)構(gòu)處以罰款。

應(yīng)對(duì)個(gè)人信息泄露的建議

細(xì)化數(shù)據(jù)泄露通知相關(guān)規(guī)定，發(fā)布指南或標(biāo)準(zhǔn)指導(dǎo)相關(guān)機(jī)構(gòu)執(zhí)行。我國數(shù)據(jù)泄露通知相關(guān)規(guī)定包含在《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》和網(wǎng)絡(luò)安全法中，建議在數(shù)據(jù)安全法、個(gè)人信息保護(hù)法以及相關(guān)指南標(biāo)準(zhǔn)中，進(jìn)一步明確和細(xì)化相關(guān)規(guī)定。一是明確數(shù)據(jù)泄露通知的程序和內(nèi)容。程序上包括通知部門、觸發(fā)通知的條件、通知部門和受影響自然人的時(shí)限和形式、數(shù)據(jù)泄露日志的內(nèi)容和保留時(shí)限等。內(nèi)容上包括數(shù)據(jù)泄露的原因和字段、數(shù)據(jù)泄露事件影響的嚴(yán)重程度、已造成和可能造成的后果、已采取或擬采取的補(bǔ)救措施等。二是評(píng)估數(shù)據(jù)泄露影響需要考慮的因素。數(shù)據(jù)泄露影響評(píng)估旨在判斷其是否達(dá)到觸發(fā)通知的條件、可能造成的后果，以及需采取的補(bǔ)救措施等。建議在評(píng)估過程中考慮以下因素：是否泄露敏感個(gè)人數(shù)據(jù)或重要數(shù)據(jù)，是否在數(shù)據(jù)泄露前已采取適當(dāng)?shù)募夹g(shù)保護(hù)措施加以保護(hù)（例如加密或匿名），是否會(huì)導(dǎo)致身份欺詐、金融詐騙、名譽(yù)損害等嚴(yán)重危害個(gè)人利益的問題，是否造成數(shù)據(jù)跨境泄露等。

加大數(shù)據(jù)泄露處罰力度，豐富處罰手段。《數(shù)據(jù)安全法（草案）》第四十二條規(guī)定，開展數(shù)據(jù)活動(dòng)的組織造成大量數(shù)據(jù)泄露等嚴(yán)重后果的，應(yīng)處10萬元以上100萬元以下罰款。與歐、美國家執(zhí)法機(jī)構(gòu)動(dòng)輒上億美元的罰款相比，該處罰力度難以對(duì)造成數(shù)據(jù)泄露事件的組織形成有效威懾，建議進(jìn)一步加大處罰力度，倒逼數(shù)據(jù)控制者完善數(shù)據(jù)保護(hù)措施。此外，應(yīng)借鑒美、歐等國家和地區(qū)的執(zhí)法經(jīng)驗(yàn)，在處罰細(xì)則方面增加涉事主體對(duì)自然人賠償、為自然人提供免費(fèi)信用監(jiān)控，以及由第三方專業(yè)機(jī)構(gòu)定期評(píng)估涉事主體數(shù)據(jù)安全情況等內(nèi)容。

建立數(shù)據(jù)泄露主動(dòng)監(jiān)測(cè)系統(tǒng)，加強(qiáng)對(duì)云服務(wù)系統(tǒng)和政府信息系統(tǒng)的定期檢查。鑒于云和政府?dāng)?shù)據(jù)泄露態(tài)勢(shì)的嚴(yán)重性，一方面要建立主動(dòng)監(jiān)測(cè)系統(tǒng)，重點(diǎn)監(jiān)測(cè)國內(nèi)主要云服務(wù)系統(tǒng)和政府信息系統(tǒng)數(shù)據(jù)是否被篡改、非法訪問、數(shù)據(jù)庫可公開訪問等情況;另一方面，要組織專業(yè)機(jī)構(gòu)對(duì)云服務(wù)系統(tǒng)和政府信息系統(tǒng)進(jìn)行定期檢查，包括其是否被攻擊、非法入侵、存在漏洞，以及數(shù)據(jù)庫是否得到正確配置等。