连锁巨头数次数据泄露遭巨额处罚，传统企业敲响警钟！

3月31日，一家知名酒店在其官方网站上宣布发生了数据泄漏，这是该集团在过去两年中发生的第二起重大数据安全事件。该集团宣布，数据泄漏发生在今年1月中旬至2月底，可能是因为第三方使用该员工的登录凭证访问该集团的访客数据，涉及总计520万访客信息，目前已被禁用。这一消息无疑给用户带来了深深的焦虑。

当今智能信息时代，数据的价值越来越突显，数据安全逐渐成为企业关注的重点。不仅是互联网企业，其他传统企业也逐渐暴露出转型过程中的数据安全困境。尤其是大型跨国企业需要更加重视数据安全合规性。一旦发生数据泄露，企业的信誉将大大降低。侵犯数据主体的权利可能导致一系列集体诉讼。

面对如此严峻的数据防泄密形势，作为企业数据管理人员，本文从全球数据合规的角度，结合近期数据泄露风波，简要论述了企业日常数据安全合规的要求以及如何应对数据披露等实际问题，以期从法律层面将数据披露带来的风险降至最低。

数据泄露的法律分析

泄露数据的类型

以本文开头提到的事件为例，根据集团发布的公告，数据泄露的信息包括:

(1)联系信息(姓名、邮寄地址、电子邮件地址、手机号码)；

(2)会员账户信息(如账号、信用余额等，但不包括密码)；

(3)其他个人信息(如公司、性别、出生日期和月份)；

(4)合作及关联企业的常旅客信息，如关联航空公司的常旅客计划和会员编号；

(5)用户偏好(例如，住房偏好、语言偏好)。

上述信息可以与特定自然人独立关联或识别，也可以与其他信息结合使用，无论是根据国内法律还是海外数据法律法规(如GDPR)的规定，这些信息都可以被识别为法律意义上的个人信息，甚至是一些敏感的个人信息。此类信息披露后，用户可能会面临电信欺诈和人身安全等风险，或者黑客可能会导致用户的数据(帐户信息、密码等)。)通过数据库冲突等技术公开的其他产品/服务。导致用户其他账户信息泄露，这是一起严重的个人信息泄露事件。此外，我们还查看了该组织的隐私政策，该政策并未表明该组织将在数据安全部分采取何种数据保护技术措施。

处理数据泄露事件的法律程序

数据泄漏后，企业应该如何应对才能顺利度过难关？作者从内部和外部两个维度做了简要的阐述。内部的
数据安全事件发生后，企业应立即启动数据安全应急响应计划，动员多个部门共同处理技术、安全、人力资源、GR/PR等事宜。当然，法律参与是不可或缺的。

企业技术安全部——应在数据泄露后的第一时间内对事件的真实性和相关性进行内部确认，并采取技术措施(包括切断网络、封锁账号等。)停止数据泄漏，同时进行内部原因调查，评估数据的性质和后续处理流程，并记录数据事件的内容。

人事部——应调查涉案员工的情况(如有)，如有内部人员数据泄露，应做出处理结果。政府关系部/公共关系部/企业DPO ——等类似角色应及时发表意见、处理和记录公众意见、与监管机构沟通、处理采访等。

在上述过程中，法律部门必须提供全面的合规支持，包括但不限于研究国内外相关法律法规(如中国的《互联网安全法》、《个人信息安全守则》、欧盟GDPR等)。)并确定企业(控制者或处理者)在此数据泄露事件中的角色。)，披露此数据披露可能导致的法律后果(行政罚款、民事责任和刑事处罚)，以及应履行的后续法律义务，如向监管机构报告和向用户发布通知。

如上所述，在数据安全事件发生后，如果相关国家/地区的适用法律法规要求有义务向监管机构报告，他们必须在这些国家/地区规定的时限内向监管机构报告。

向监管机构报告

根据我国《网络安全法》和《国家网络安全事件应急预案》的规定，企业应立即向当地网络信息部门、当地通信管理部门或相关应急办公室报告。企业报告应包括:

(1)个人信息主体的类型、数量、内容和性质的概况；

(2)安全事件的可能影响；

(3)企业已经采取或者将要采取的措施；

(4)处理安全事件人员的联系信息。

根据欧洲联盟GDPR第33条，在个人数据泄漏发生后，数据控制员应根据GDPR第55条尽快通知监管机构，最迟在已知泄漏后72小时内。如果通知在72小时内发送给监管机构，应说明延迟的原因。个人数据的披露不太可能对自然人的权利和自由构成风险，也可能不予报告。企业向监管部门报告的内容至少应包括:

(1)描述个人资料披露的性质，包括所涉及的资料当事人的类型和大概数目，以及有关个人资料记录的类型和大概数目；

(2)告知数据保护专家的姓名和联系信息，或可以获得更多信息的其他联系人；(3)描述个人信息披露的可能后果；

(3)描述数据控制人员为弥补个人数据泄露而采取或计划采取的措施，包括减少潜在负面影响的措施。

数据安全事件的法律后果

企业数据安全合规的三个步骤

企业数据安全合规，应遵循网络安全法等法律法规，实施平等保护2.0等制度要求，采用GDPR标准、国际标准化组织/国际电工委员会27001，建立完善的合规体系。具体来说，我们可以从以下三个步骤开始:

配置数据安全合规团队和负责人

一般来说，互联网企业会配置安全技术部门，但数据安全合规人员并不多，技术团队一般对他们负责。然而，数据安全合规性肯定不仅涉及技术问题，还涉及更多的法律、法规和合规性方面。此外，这项工作不仅由法律部门单独承担，还需要与信息技术部门、安全部门和GR/PR部门进行协调。最佳的实际计划是部署数据保护合规法律人员，并与技术和安全团队一起建立数据安全合规团队。

团队应该设置专项负责人。根据我国网络安全法，企业应设立网络安全负责人，落实网络安全保护责任。根据《数据安全管理办法》(征求意见稿)，企业应指定数据安全负责人，组织制定和实施数据保护计划等。根据《信息安全技术 个人信息安全规范》，企业应成立个人信息保护组织和负责人，协调个人信息安全工作。海外地区的一些国家已经规定了数据保护官员(DPO)或类似人员(例如，澳大利亚要求企业设立隐私专员等。)。因此，企业可以根据自身条件设置数据保护主体，协调数据安全和隐私保护。制定并实施数据管理系统和运行机制。除组织人员外，企业还应建立健全数据保护管理制度和运行机制。在系统文件层面，根据中国法律规定和国际标杆标准，企业应制定通用数据安全管理标准，明确企业数据保护原则和组织机构，并据此制定以下子文件，如:

数据安全事件应急计划

计划内容应包括常见事件场景、原则、职责、评估、处理流程、运行模式、人员安排、数据披露公告模板等。的应急机制，并应根据法律、法规或监管要求的变化以及事件的处理情况及时更新。

角色权限控制系统

根据内部员工的不同角色，赋予不同的数据库访问权限和安全职责。对于可能访问企业数据库的外部人员，应要求他们签署保密协议并进行监督。

员工数据保护系统

企业通过部署数据防泄漏系统（数据保护系统），内部数据被非法窃取到外部，无法正常打开，从源头控制数据被泄露的风险。

数据访问审计系统

根据数据的敏感性和员工职位的性质，设置合理的审批流程。

第三方数据管理系统

对于数据供应商，建立仓储审查制度、承诺书(确认数据的合法来源)，并签订合同明确双方责任；对于数据处理服务提供商，即数据保密协议、安全审计、安全监控等。在数据处理活动中。

数据安全工程系统

定期(至少每年一次)进行数据安全风险检测，在产品需求、设计、开发、测试和发布的系统工程阶段进行数据安全同步规划、同步建设、同步评估和同步使用机制。建立安全审计机制来检测数据处理活动。

仅上述系统文档是不够的。企业还应建立完善的运行机制，如完善的数据安全事件响应流程，能够在不幸的数据安全事件发生后快速有序地做出响应。此外，企业应定期(至少每年一次)组织相关内部人员开展应急培训和评估及应急演练，使其掌握工作职责和应急处置策略及程序，避免企业内部员工造成数据泄露。

建立适当的数据安全技术能力

企业应建立适当的数据安全能力，采取必要的技术措施防止病毒、网络攻击等。防止数据泄漏、丢失、损坏等。具体而言，它包括数据的分类和分级存储、重要数据/个人敏感信息的加密传输和存储、用户侧和雇员侧必要的相关个人信息的脱敏和显示(例如客户服务呼叫中心)、多重身份认证等。

数据收集后，企业应采取去标识处理方法保护数据安全，并采取技术措施将可用于恢复和标识的个人信息与去标识信息分开存储，加强访问和使用权管理。在流行期间，更有必要对医疗行业的数据采用去识别处理方法，如取消患者/医生的身份信息(如姓名、身份证号码、地址等)。)，删除或取消或概括联系信息，并对医疗日期采用“时间偏移法”、转换法、概括法等手段。具体实施请参考《信息安全技术 健康医疗数据安全指南（征求意见稿）》)。

综上所述，网络并不是绝对安全的。许多大型企业遭受网络攻击和数据安全事件。此外，数据安全取决于许多因素，如物理安全、主机安全、网络安全等如果发生不幸的数据安全事件，可以引导企业相关部门安全处理，及时采取有效措施进行处理，最大限度地减少用户损失，恢复企业声誉。