全球個人信息泄露態勢及應對思路

張博卿

全球數據泄露高發

個人信息保護形勢嚴峻

個人信息是數據泄露的重災區。個人信息泄露引發的網絡身份盜竊往往會導致金融詐騙、信用欺詐等后果出現，成為黑客的重點關照對象，也是暗網中銷售的主要數據類型。

一是幾乎所有數據泄露事件都涉及個人信息。在71起數據泄露事件中 ，涉及個人信息的有68起，姓名、聯系方式等身份標識信息被普遍泄露，累計超過48億人次的個人信息被泄露 ，發生在美國的數據泄露事件最多，占比39%。二是醫療和社交領域個人數據泄露規模較大。個人醫療信息泄露事件占比15%，德國研究機構調查了全球2300個醫學圖像存檔系統，發現來自52個國家的2430萬份患者的數據能夠公開訪問，其中包含7.37萬張高清醫學圖像，我國14個服務器泄露了27.9萬份患者數據。在個人社交信息方面，累計超過12億人次的臉書用戶信息被泄露，主要是美國、英國和越南的臉書用戶受到較大影響。三是部分大型互聯網企業的用戶個人信息泄露頻繁。一方面，泄露來自大型互聯網企業未能管控好第三方應用程序。今年4月 ，臉書連續發生兩起個人信息泄露事件，分別由第三方應用程序Cultura Colectiva和At the Pool導致，有超過5.5億臉書用戶數據被泄露。另一方面，黑客技術導致大型互聯網企業用戶個人信息泄露。今年7月，以色列網絡安全公司NSO集團開發了能夠從蘋果、谷歌、臉書、亞馬遜和微軟云服務器中獲取敏感數據的惡意軟件，該公司的相關產品已被多個間諜機構和政府使用。四是政府部門造成公民個人信息被大規模泄露。今年7月，有超過500萬的保加利亞人（占總人口比例71.4%）稅務信息被泄露;8月，超過1430萬智利人（占總人口比例80%）的選舉相關信息被泄露;9月，厄瓜多爾全民個人信息和部分已死亡的公民信息被泄露，或將帶來全國性信用和金融詐騙猖獗。

數據庫未得到正確配置和黑客攻擊是個人信息被泄露的主因，必須高度關注多源數據融合致使個人信息被挖掘。導致數據泄露的原因多種多樣，包括云上數據庫未得到正確配置、網絡釣魚、勒索攻擊、機構內部泄露、多源數據匯聚后被挖掘分析等。一是有40.8%的數據泄露事件是由數據庫未得到正確配置所致。部分企業數據庫未加密且沒有任何身份認證措施，致使數據可通過互聯網被公開訪問，特別是云上數據安全堪憂，占比15.2%的數據泄露事件源于托管在亞馬遜和微軟云服務器上的數據庫能夠被公開訪問。二是占比27.8%的數據泄露事件是黑客攻擊所致。今年2月份，以色列加密貨幣交易平臺Coinmama被黑客攻擊，用戶電子郵件和哈希密碼泄露。三是多源數據融合導致個人信息被挖掘也是數據泄露的一種形式。盡管在爬蟲等應用逐漸增多的情況下，這些數據可能是通過公開渠道合法采集的。例如，去年11月，研究人員發現了一個涉及12億人信息的公開數據庫，該數據庫中的信息采集自臉書、Linkedln、Twitter、GutHub等網站和一些數據經紀人，其數據來源合法，但研究人員發現其中多源數據融合導致的隱私問題極多。

政府部門個人信息泄露現象不容忽視。政府部門匯聚和掌控了大量涉及國家安全和個人隱私的數據，在2019年的數據泄露事件中，由于政府門戶網站被攻擊或存在嚴重漏洞、政府云上數據庫未得到正確配置等原因導致的數據泄露事件占比達7%。71.4%的保加利亞國民個人信息、679萬印度國民個人信息（存儲在印度國家身份認證系統Aadhaar中）等，均是從政府部門直接泄露;澳大利亞泄露國民18億條出行信息，則是由于政府部門在開放數據過程中未能做好數據脫敏，致使個人信息被重新識別。上述事件表明，政府部門必須高度重視數據安全方面的工作。

主要國家

應對個人信息泄露的舉措

在立法和標準制訂層面，制定和完善數據泄露通知制度。數據泄露通知是指數據控制者將泄露情況通知給監管機構和受影響自然人的制度。全球數據泄露通知立法始于美國加利福尼亞州2002年出臺的《數據安全泄露法》，隨后被歐盟、韓國、澳大利亞、新加坡、加拿大等國家或地區廣泛采納。

一是美國各州制定《數據泄露通知法》，對金融和醫療等行業立法也做出了相關規定 。美國《數據泄露通知法》普遍規定了適用主體范圍、PII（可識別個人信息）的定義、觸發通知的要素、評估損失和通知公眾的程序、賠償及具體實施機構、罰款規則等。在州政府層面，隨著2018年南達科他州和阿拉巴馬州頒布《數據泄露通知法》，全美50個州均實現了數據泄露通知的專門立法。近兩年，阿肯色州、伊利諾伊州、緬因州、新澤西州等開展了《數據泄露通知法》的修訂工作，重點是擴大PII定義、縮短通知時間、增加泄露主體機構在數據泄露后的信用監控職責等。例如，阿肯色州、新澤西州分別將生物識別數據、用戶網上賬戶納入PII的范疇;緬因州將數據泄露后需告知受影響公眾的時間改為30天;康涅狄格州則要求企業向社保號遭到泄露的個人提供兩年的免費身份盜竊防護服務和補救服務。在行業層面，聯邦預算管理辦公室的《健康保險責任法》、《金融服務法現代化法案》等對相應行業個人信息泄露通知進行了規定。在州立法和聯邦立法協同方面，州立法普遍增加了“安全港”準則，即醫療健康、金融等個人信息被泄露時，應遵守聯邦立法的規定。二是歐盟GDPR做出相關規定。GDPR規定，個人數據被泄露時，控制者應當在知道之時起72小時內向監管機構報告，除非不會給自然人權利和自由造成風險;若可能給自然人權利和自由造成高風險，則需要通知數據主體。截至今年1月底，各企業向歐洲經濟區內數據保護監管機構通報的個人數據泄露事件已達160921起。三是韓國、澳大利亞、加拿大、新加坡等效仿美、歐建立數據泄露通知制度。例如，韓國《信息通信網絡的利用促進與信息保護等相關法》、加拿大《個人信息保護和電子文檔保護法案》、新加坡《2020年個人數據保護法案（修訂法案）》等。其中，加拿大的法案還要求組織保留個人信息泄露記錄，保留期限至少兩年，該記錄將成為隱私專員辦公室判斷組織是否違反法案的依據。新加坡今年5月發布的《2020年個人數據保護法案（修訂法案）》，在2012年個人數據保護法的基礎上引入了強制性數據泄露通知的規定。為幫助數據控制者評估數據泄露對個人潛在危害的程度，新加坡通信和信息部、個人數據保護委員會將制定一個數據目錄，包括駕駛證號碼、信用卡號碼、居民身份證號等，此類數據一旦泄露將對個人造成重大危害。四是在標準指南制定層面，指導數據控制者落實數據泄露通知責任。歐盟多家數據保護機構發現，長期以來數據控制者一直存在數據泄露通知不及時、不充分、重復通知，以及難以評估數據泄露風險等級等問題。為此，2018年11月—2019年10月，歐洲數據保護專員公署、波蘭個人數據保護局、愛爾蘭數據保護委員會先后發布了個人信息泄露通知相關指南，明確了數據泄露通知包含的要素、通知監管機構和個人的方式、通知時間、風險評估的關鍵要素等，并要求數據控制者留存數據泄露事件、通知及采取的補救措施等相關記錄，監管機構將對記錄進行訪問，以驗證相關行為是否合法。

在執法層面，加大對數據泄露主體的處罰力度。歐盟、美國等國家和地區普遍對未能采取有效措施而導致個人數據泄露的組織采取罰款等形式進行處罰。例如，2019年7月，美國征信巨頭Equifax被FTC罰款5.75億美元，因為其2017年未能在數據庫中及時完善Apache Struts框架且在發現該問題數周內未及時通知監管機構和公眾，導致美國近1.5億人的財務信息被泄露;Equifax還承諾，要為消費者提供現金補償，并每兩年開展一次信息安全計劃的第三方評估。2019年7月，萬豪國際酒店被英國信息專員辦公室罰款1.24億美元，原因是其泄露了3.83億用戶的個人信息，同時未能及時通知和報告數據泄露情況。此外，2019年，醫療機構Cottage Health和Touchstone醫學影像、臉書均因數據泄露分別被美國、巴西的主管機構處以罰款。

應對建議

細化數據泄露通知相關規定，發布指南或標準指導相關機構執行。我國數據泄露通知相關規定包含在《電信和互聯網用戶個人信息保護規定》和網絡安全法中，建議在數據安全法、個人信息保護法以及相關指南標準中，進一步明確和細化相關規定。一是明確數據泄露通知的程序和內容。程序上包括通知部門、觸發通知的條件、通知部門和受影響自然人的時限和形式、數據泄露日志的內容和保留時限等。內容上包括數據泄露的原因和字段、數據泄露事件影響的嚴重程度、已造成和可能造成的后果、已采取或擬采取的補救措施等。二是評估數據泄露影響需要考慮的因素。數據泄露影響評估旨在判斷其是否達到觸發通知的條件、可能造成的后果，以及需采取的補救措施等。建議在評估過程中考慮以下因素：是否泄露敏感個人數據或重要數據，是否在數據泄露前已采取適當的技術保護措施加以保護（例如加密或匿名），是否會導致身份欺詐、金融詐騙、名譽損害等嚴重危害個人利益的問題，是否造成數據跨境泄露等。

加大數據泄露處罰力度，豐富處罰手段。數據安全法草案第四十二條規定，開展數據活動的組織造成大量數據泄露等嚴重后果的，應處10萬元以上100萬元以下罰款。與歐、美國家執法機構動輒上億美元的罰款相比，該處罰力度難以對造成數據泄露事件的組織形成有效威懾，建議進一步加大處罰力度，倒逼數據控制者完善數據保護措施。此外，應借鑒美、歐等國家和地區的執法經驗，在處罰細則方面增加涉事主體對自然人賠償、為自然人提供免費信用監控，以及由第三方專業機構定期評估涉事主體數據安全情況等內容。

建立數據泄露主動監測系統，加強對云服務系統和政府信息系統的定期檢查。鑒于云和政府數據泄露態勢的嚴重性，一方面要建立主動監測系統，重點監測國內主要云服務系統和政府信息系統數據是否被篡改、非法訪問、數據庫可公開訪問等情況;另一方面，要組織專業機構對云服務系統和政府信息系統進行定期檢查，包括其是否被攻擊、非法入侵、存在漏洞，以及數據庫是否得到正確配置等。