×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

打开微信,扫一扫二维码
订阅我们的微信公众号

简体中文 English

发生数据泄露事件时企业的应急救济及权益保护

发生数据泄露事件时企业的应急救济及权益保护

张晓宇 张园 


数据泄露一般指采集、储存、处理以及传输中的个人数据尤其是敏感数据的丢失或被盗、更改、被破坏以及其他未经授权的访问或公开,从而损及这些数据的机密性、完整性以及可用性的行为。【1】发生数据泄露事件时,企业采取何种应急救济措施、如何主张权益保护,能够有效地反映出企业数据安全能力和风险处置能力,及时、完善的应对救济和权益主张能够帮助企业减少损失、挽回声誉,否则网络安全事件将可能进一步升级,给企业造成的损失也将进一步扩大。


发生数据泄露事件后企业应采取何种应急救济


《网络安全法》第二十五条规定,“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”一旦发生数据泄露事件,笔者建议企业在应急处置时从以下几方面着手:


一、  准确判断事件性质并控制事态


网络运营者作为数据的直接控制主体,可以通过内外部监控两种方式的结合,第一时间判断是否发生了数据泄露。一旦发生数据泄露事件,网络运营者应迅速确认数据泄露范围、数量、种类等,对事件性质做出准确判断,以免因粗心大意或盲目自信导致对真实事态的误判。之后,企业应评估哪些是需要优先保护的事项,针对这些最重要的优先事项确定内部分工和具体操作流程,立即采取补救措施控制事态,消除隐患。


二、  准确记录事件内容


根据《信息安全技术个人信息安全规范》(GB/T 35273-2020)10.1 c)1)条,“发生个人信息安全事件后,个人信息控制者应记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门。”


企业应特别注意,准确记录事件内容、依法留存证据是按规定上报及后续复盘的基础,既可以帮助监管部门快速了解情况,也有助于企业自身总结经验教训。


三、  及时上报主管部门


《网络安全法》第四十二条规定了网络运营者在发现数据泄露后的通知和报告义务,并在第六十四条规定了网络运营者、网络产品或者服务的提供者违反通知和报告义务,侵害个人信息依法得到保护的权利的罚则。在个人信息领域,《信息安全技术个人信息安全规范》(GB/T 35273-2020)10.1 c)3)条规定了企业按照《国家网络安全事件应急预案》等有关规定履行上报义务的具体内容。


一旦发生数据泄漏事件,企业应及时上报主管部门,否则可能面临警告、没收违法所得、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚,给企业经营及名誉造成影响。


四、  安全事件告知


根据《个人信息保护法》第五十七条规定,“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。若个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。通知应当包括下列事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。”


实践中,企业履行安全事件告知义务时,可进一步参照《信息安全技术个人信息安全规范》(GB/T 35273-2020)10.2条,该条对告知义务具体如何履行进行了进一步补充。



发生数据泄露事件后企业应如何保护自身权益


造成数据泄露的原因主要可分为内部和外部两种。其中,内部原因包括工作人员疏忽大意的过失及非法的故意,外部原因主要为第三方非法获取或恶意攻击、数据存储服务提供商数据泄露。根据原因不同、侵害程度的不同,企业应采取不同的救济方式。


一、  因内部员工过失导致数据泄露时的企业权益保护


《劳动合同法》第二十九条规定,“用人单位与劳动者应当按照劳动合同的约定,全面履行各自的义务。”《民法典》第一千一百八十四条规定,“侵害他人财产的,财产损失按照损失发生时的市场价格或者其他合理方式计算。”结合二者可以看出,若内部员工没有按照企业相关规章制度进行操作,因失误导致公司数据泄露造成损失的,企业可根据劳动合同要求员工赔偿损失,员工对企业应当承担职务侵权赔偿责任。鉴于劳动关系具有人身依附性,企业作为劳动成果的主要享受者,也应当承担一定的经营风险,因而,从司法判例看,一般情况下,只有因劳动者的故意或重大过失给用人单位造成经济损失的,劳动者才负赔偿责任。


二、  因内部员工非法故意导致数据泄露时的企业权益保护


若内部员工违反保密义务、故意泄露企业数据,企业可根据案件性质、涉案金额、涉案手段、案件影响等选择相应的救济手段。


如果涉案金额不大,建议提起民事诉讼。例如在北京酷讯科技有限公司与郑熙承侵害商业秘密纠纷【2】一案中,被告郑熙承任职期间利用职务便利给从事原告竞争业务的前同事提供公司用户的交易信息。经法院审理,最终认定被告侵害了原告的商业秘密,判决被告赔偿原告经济损失4万元、合理支出6万元。


若案情已触犯刑法,则建议报警处理。例如,在韦鸿钰非法侵入计算机信息系统一案【3】中,被告人韦鸿钰先后在三家公司工作期间,因工作需要,由其公司在广东电力市场交易系统分别注册了两个账号,被告人使用上述账号登录后,多次通过非法的URL链接(漏洞),侵入该系统,并非法下载全部市场主体的报价申报等非公开数据。最终法院判决被告人韦鸿钰犯非法侵入计算机信息系统罪,判处有期徒刑二年。


三、  因第三方非法获取或恶意攻击导致数据泄露时的企业权益保护


首先,企业可根据案情提起反不正当竞争之诉。例如在北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷一案【4】中,淘友技术公司、淘友科技公司未经新浪微博用户的同意及新浪微博的授权,获取、使用脉脉用户手机通讯录中非脉脉用户联系人与新浪微博用户对应关系。经法院认定,其违反了诚实信用原则及公认的商业道德,损害了互联网行业合理有序公平的市场竞争秩序,一定程度上损害了被上诉人微梦公司的竞争优势及商业资源,构成不正当竞争行为。


其次,非法获取或恶意攻击亦可能涉及到刑事案由,如侵犯公民个人信息罪、非法获取计算机信息系统数据罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪。企业遇到此种情况应及时采取应急措施并报警,将己方损失尽可能降到最小。


四、  因数据存储服务提供商原因导致数据泄露时的企业权益保护


如果企业数据存储于专门的数据存储服务提供商的服务器中,数据存储服务提供商与企业本质上是合同关系。若存储于数据存储服务提供商服务器中的企业数据发生泄露,企业可以根据合同要求数据存储服务提供商承担违约责任。但提醒注意,若合同中明确将网络攻击者的原因作为不可抗力,发生数据泄露后,数据存储服务提供商可以部分或者全部免除责任。


大数据时代,数据泄露风险无处不在,企业应当通过适当的员工安全培训、有效的第三方管理等方式加强对于数据泄露的事前预防,同时,通过制定事故响应计划以及实施有力的事后调查降低数据泄露导致的损失,减少数据泄露带来的危害。


【1】 See Article 4 ( 12) of EU General Data Protection Regulation ( GDPR) ; Clara Kim,Granting Standing in Data Breach Cases: The Seventh Circuit Paves the Way towards a Solution to the Increasingly Pervasive Data Breach Problem,2016 Columbia Business Law Review 544,546 ( 2016).

【2】(2019)京0105民初57993号民事判决书。

【3】(2019)粤0104刑初1253号刑事判决书。

【4】(2016)京73民终588号民事判决书。



联系我们(图1)

地址:江苏省南京市建邺区云龙山路89号龙湖天街2号楼1301

电话:(025)83707073

咨询及合作:请发送邮件至xeoninfo@163.com

应聘及实习:请发送邮件至xeonhr@163.com

投诉或特别情况:请发送邮件至主任合伙人邮箱xeonzxy@163.com





快速链接

联系耀时

江苏省南京市建邺区云龙山路89号龙湖河西天街2号楼1301
邮编:210019
电话:+86 (025)83707073
Email:xeoninfo@163.com