企业数据泄露频发却不通知用户？主动通知或反而降低合规成本

每天骚扰电话不断、被法人被贷款事件频发、电信诈骗屡禁不止……究其根本，这些问题直接与个人信息泄露挂勾。有数据显示，2020年，全球发生的数据泄露事件超过去15年的总和，其中60%是个人信息泄露事件。

令人无奈的是，个人因信息流转链路复杂、技术短板等原因，无法找到泄露源头，更别谈维权了。

值得注意的是，将于11月施行的个人信息保护法规定，发生或可能发生个人信息泄露时，个人信息处理者应通知个人，披露其联系方式等，未履行者最高可被罚五千万或上一年度营业额百分之五以下罚款。

该制度的落地有望解决个人信息保护中维权者找不到施害方的问题吗？

国外企业披露数据泄露事故更主动？

据研究机构Canalys发布的报告显示，2020年全球发生的数据泄露事件超过过去15年的总和。其中，个人信息泄露问题尤为严重，占数据泄露事件总量的60%。由此引发的电信诈骗、恶意骚扰等行为，严重侵害民众的人身财产安全。

2018年9月，英国航空向当地数据主管部门ICO通报了一起网络安全事件，称从6月开始，其官网上的用户流量被劫持到了一个欺诈网站，50万名用户的姓名、住址、账号密码、信用卡信息和订单信息遭到泄露，并被攻击者截获。当时，英国航空公司的发言人表示，公司一意识到系统遭到犯罪分子的攻击，便立即通知了客户，“很遗憾，我们并没有达到客户的期望”。

2018年底，在因泄露规模之大轰动一时的万豪客户信息泄露事件中，超3亿客户数据泄露，包括姓名、性别、电话号码、支付卡号等信息。为此，万豪在其官网发表相关事件声明，并联系了受影响的客户，为他们提供为期一年的欺诈检测服务，还建立了专门的帮助网站为客户解决疑问。

南都·隐私护卫队观察到，公开资料显示，相比国外，当发生数据泄露事件时，国内企业鲜少会主动披露或联系受到影响的用户。

今年6月，商丘市睢阳区人民法院公开的一份刑事判决书显示，淘宝在2019年发生了数据泄露事件。一名大学生自2019年11月起，对淘宝实施长达八个月的数据爬取并盗走大量用户数据，总量高达5000多万条，涉及用户ID、淘宝昵称和手机号等。对此，淘宝方并未回应。

去年12月，有媒体曝光圆通员工勾结外部不法分子致使40万条个人信息泄露。随后圆通作出回应，称在7月底发现河北省下属加盟网点中有账号存在异常查询操作，公司随后关闭风险账号，与当地员工配合调查取证，并向公安部门报案。

值得注意的是，在圆通发布的声明中，并未提及是否通知用户。

“目前我还没见过企业主动通知用户。”深耕网络安全近20年的王凯（化名）对南都·隐私护卫队表示，国内常见的情况分为三种：有的是“企业出了事情自己默默搞定”，不对外发声；有的则是在刚发生数据泄露时不对外公布，等到公安机关立案或抓到犯罪嫌疑人后再披露；还有的是被曝光后不得不发声。

报告：主动披露数据泄露事件的企业遭受的损失较少

为什么国外企业会主动披露数据泄露事件呢？

南都·隐私护卫队梳理发现，美国于2002年颁布《数据安全泄露通知法案》。随后欧盟、澳大利亚等国家纷纷引入该制度。

欧盟2011年修订的《电子通信行业隐私保护指令》规定了欧盟层面公共电子通信服务提供者数据泄露通知的义务；2013年欧委会制定了更加详细具体的执行规则—《个人信息泄露通知条例》；2018年5月正式实施的《通用数据保护条例》（下称“GDPR”） 进一步从立法上确立了数据泄露通知制度，规定控制者在知悉个人信息泄露后应当及时或最迟在72小时内将情况汇报给有关监管机构，除非数据泄露对自然人的权利和自由不太可能带来风险；如果带来高风险则应及时通知数据主体。

不仅如此，高额罚款更具震慑作用。欧盟规定，未履行数据通知义务的企业将会面临一千万欧元或全球年营业额2%以上的处罚。

之所以国外会主动披露数据泄露事件，漏洞银行运营总监鲍晓南对南都·隐私护卫队表示，主要是国外有健全的法律法规，对公民数据保护的要求相较严谨和系统。而国内相对应的法律法规目前正在建设和完善中。

在王凯看来，“并不是国外企业的素质有多高，而是因为法律法规的约束”。如果合规影响比不披露的影响还大，企业会两害相权取其轻， “这是根本原因。”他强调。

卡巴斯基于2020年发布的《企业如何将数据泄露的成本降至最低》报告证实了上述观点。

报告对全球5200多名IT和网络安全从业者进行调查，结果显示主动披露数据泄露事件的中小企业的成本为9.3万美元，而被媒体曝光数据泄露的同行的成本为15.5万美元。大企业的情况同样如此，主动披露数据泄露事件的企业遭受的损失（113.4万美元）比那些被媒体曝光的企业的损失（158.3万美元）少28%。

企业数据泄露的平均成本。图自卡巴斯基报告

报告分析，遭受数据泄露的企业需要考虑经济和声誉损失，主动披露有助于公司扭转局面，将其朝公司有利的方向发展。如果客户第一时间知道发生了什么，很可能还会保持对品牌的信任。否则客户可能会失去对该公司的信任并决定将业务转移至其他地方。

国内监管趋严，未来落地更强

事实上，南都·隐私护卫队梳理发现，我国在2012年便对信息泄露的补救措施做出规定，目前国内关于数据泄露的通知制度正在不断完善当中。

2012年，全国人大通过的《关于加强网络信息保护的决定》中首次从法律层面对信息泄露作出规定，明确网络服务提供者等在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施，但并没有规定信息泄露后的通知要求。

2017年6月正式实施的网络安全法对信息泄露通知制度进行了完善，规定网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

即将于11月1日实施的个人信息保护法作出更详细的规定，明确发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

个人信息保护法还规定，对未履行个人信息泄露通知义务的最高可以处五千万元以下或者上一年度营业额百分之五以下罚款。这将倒逼个人信息处理者履行通知义务。

多位专家对南都·隐私护卫队表示，随着法规制度要求的逐渐完善，未来数据泄露通知制度的落地执行会更强。

“这是一条必经之路。”王凯表示，对用户而言，这是企业的一个负责任的动作——出现数据泄露时通知用户，用户将有机会采取一定的防御措施，比如修改密码等。对于整个行业而言，至少会起到警示作用，让大家更加关注安全，更好地保护个人和企业的数据，对安全行业也是一个利好，未来可能会出现更好的机会和市场。

用户维权更加明确有方向

一直以来，网购退换货诈骗、快递赔损诈骗等电信诈骗层出不穷。而这些诈骗屡屡成功的背后是个人信息的泄露问题。由于信息流转链条复杂、技术能力有限等原因，个人难以判断到底是谁泄露了个人信息，往往陷入不知道找谁维权的困境。

值得注意的是，个人信息保护法规定，发生个人信息泄露事件时，个人信息处理者除了需要通知相关监管机构和个人，还需要披露事故发生的原因和可能造成的危害、个人信息处理者的联系方式等。

数据泄露通知制度对用户来说有什么好处？能否解决上述问题？

中国信息通信研究院互联网法律研究中心高级研究员杨婕认为，一方面，个人信息泄露通知制度能够帮助监管机构及时了解泄露的具体情况，进而制定相应的应急监管方案。另一方面，个人信息泄露通知制度能够减少个人损失——如果及时通知个人，个人就有机会通过采取更改密码等措施，或者警惕欺诈或者诈骗等行为，来最小化个人信息泄露带来的损失。

据王凯了解，目前，公安部、工信部、网信办等部门也会监控暗网等黑灰产交易平台上的数据流动情况，发现问题会找到企业要求它们澄清或解决问题。他强调，随着数据泄露通知制度的建设和完善，发现问题有人监管，然后企业通知用户，用户再通过法律途径进行维权，要求索赔，“这条路未来一定会打通的”。[来源:文/南都个人信息保护研究中心研究员尤一炜 ]