凡事豫则立,不豫则废。言前定则不跲,事前定则不困,行前定则不疚,道前定则不穷。
——《礼记·中庸》
一、背景
随着企业数字化、智能化的程度日益提高,远程办公在疫情背景下成为常态,企业所面临的信息安全事件的威胁也与日俱增。因此,信息安全事件的管理成为所有企业在开展数据合规工作中不可回避的一道“必答题”。
近日,国家市场监督管理总局与国家标准化管理委员会发布了修改后的《信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南》(GB/T 20985.2-2020/ISO/IEC 27035-2:2016)。此次发布的版本是继2017年《信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理》(GB/T 20985.1-2017/ISO/IEC 27035-1:2016)后该系列的第二个标准,后续还会有“事件响应操作指南”部分有待发布。
信息安全事件最大特点是难以回避,且一旦发生就可能导致严重后果。各种安全策略仅能够降低安全事件的发生的概率以及控制影响。因此,对于任何企业来说,有必要在事前建立完善的安全事件管理规范,并在事件发生后积极响应。
随着中国网络安全法律体系的日益完善,传统上很多技术标准、信息安全最佳实践已经上升为法律义务,这也就要求律师、法务等法律工作者在信息安全事件管理的过程中扮演愈发重要的角色。
二、合规压力
法律工作者最为关键的工作是将法律义务输出为合规基线,并将信息安全事件管理中复杂的法律关系与数据流中梳理出企业的行动项。不同安全事件可能对应不同的义务。
比如在我们协助企业处理过的某消费品牌电商的网络安全事件中,消费者在该品牌某旗舰店购物后会收到诈骗短信,经与IT与业务部门沟通,发现事件原因是受托经营旗舰店的运营商网络系统发生数据泄露。因为该品牌在事件中并非网络运营者,所以我们判断该品牌所适用的法律责任来自于《消费者权益保护法》与《电子商务法》,而非《网络安全法》。在此基础上我们根据与店铺运营商的协议,要求该运营商承担违约责任,并立即履行作为网络运营者而需要承担的《网络安全法》下的义务。
传统上,信息安全事件管理是信息安全领域的一项重要工作,与法律关系不大。但是,随着近年来信息安全事件的影响日益提高,建立有效的信息安全事件管理机制已经成为一项法律义务,体现在越来越多的法律法规中:
《网络安全法》第25条:“在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
《网络安全法》第34条:“除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:……(四)制定网络安全事件应急预案,并定期进行演练;……”
《消费者权益保护法》第29条第2款:“……经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。”
《电子商务法》第30条第2款:“电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。”
《儿童个人信息网络保护规定》第21条:“网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。”
《个人信息保护法(草案)》第50条:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:……(五)制定并组织实施个人信息安全事件应急预案;……”
《个人信息保护法(草案)》第55条:“个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。……个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。”
《数据安全法(草案)》第27条:“开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。”
《数据安全管理办法(征求意见稿)》第30条:“网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。”
从以上条文可以看出法律设定的信息安全事件管理的义务主要有:制定应急预案;采取补救措施;报告主管部门;告知受影响个人(如有)。以上法律义务可以与信息安全事件的不同阶段建立对应关系:
在网络安全与数据保护领域,“一案双查”制度也是合规的最主要动因之一。在网络安全事件发生后,公安机关一方面会去追查发动攻击不法分子,另一方面也会检查受到攻击的网络运营者是否履行了网络安全义务。而公安部门在“一案双查”中关注的网络运营者义务之一就是网络安全应急预案是否具备及是否有效启用。因此,在信息安全事件管理过程中事前事后的每一个环节都可能成为监管机构关注的重点,需要从合规层面予以关注。
三、诉讼压力
信息安全事件最严重的后果是刑事责任,虽然触发的几率不高,但也不应忽视。《刑法》第二百八十六条之一设定的“拒不履行信息网络安全管理义务罪” 堪称是信息安全事件合规的“悬顶之剑”,如果触犯最高可能面临三年有期徒刑,并处或单处罚金。
相对于刑事责任,需要承担民事责任的场景更为普遍。在当前隐私保护意识空前高涨的氛围下,任何信息安全事件都有可能引来极高的关注度,进而触发各种类型的诉讼与调查。仅与诉讼有关的民事诉讼就可以归类如下:
主体 | 诉讼类型 |
个人信息主体 | 违约/侵犯个人信息、隐私权 |
协会 | 侵犯个人(消费者)信息、隐私权 |
检察院/政府部门(?) | 公益诉讼 |
投资者 | 信息披露相关诉讼 |
诉讼的压力主要来自于举证责任,即厂商需要在信息安全事件后证明自己已经履行合规义务,妥善应对了信息安全事件。在《个人信息保护法(草案)》第65条中规定:“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”
而在更早的(2017)京01民终509号庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案中,法院确立了可通过隐私权对个人信息安全予以保护的规则,明确了认定个人信息泄露应适用民事证据高度盖然性证明标准。该案件也在2018年被最高院列为“第一批涉互联网典型案例”,并在2019年再次被最高院选为“中国互联网司法典型案例”。在该案件后,关于安全事件发生后用户发起的诉讼案件也越来越多:
案件名称 | 庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案 | 申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案 | 付全贵与北京三快信息科技有限公司(美团)等网络侵权责任纠纷案 |
审理法院 | 北京市第一中级人民法院 | 北京市朝阳区人民法院 | 北京互联网法院 |
案号 | (2017)京01民终509号 | (2018)京0105民初36658号 | (2018)京0491民初1905号 |
裁判日期 | 2017年3月27日 | 2018年12月29日 | 2019年5月27日 |
被告 | 中国东方航空股份有限公司 北京趣拿信息技术有限公司 |
上海携程商务有限公司 支付宝(中国)网络技术有限公司 |
北京三快在线科技有限公司 北京三快科技有限公司 北京三快信息科技有限公司 |
裁判结果 | 两被告赔礼道歉 | 携程赔偿经济损失5万元 | 北京三快科技有限公司赔偿11155元(二审和解撤诉) |
面对诉讼的压力,会直接传导下来对管理过程中可问责性(accountability)与电子证据取证的更高要求,尤其是对相关电子证据的固定。这要求所有的信息安全合规措施都应当是面向诉讼的合规,即在处理信息安全事件的每一个环节都考虑该处理行为在法庭上会被如何质证,即从真实性、合法性、关联性三方面考虑电子证据的有效性。这需要法律工作者在参与信息安全事件管理时捻熟于证据规则,并能深刻理解技术的特点。
四、信息安全事件管理的合规 “四象限”
根据信息安全事件合规的不同阶段与涉及内外部的情况,我们可以粗略地分为四个象限。在信息安全事件前,应当进行尽可能全面的内外准备,一旦发生信息安全事件,则需要有效调动内外资源,积极进行应对。
在“内部-事前预防”象限:企业需要对自己网络系统、数据资产有清晰的梳理,知道某一项业务会处理哪些数据,服务器位于何处。而且这种梳理不应仅停留在某一部门,更为重要的是让企业内外相关方都有所掌握。在此基础上,才能制定出一份有效的应急预案。应急预案则需要充分考虑网络系统与数据可能涉及的法域。不同的法域接受报告的机构不同,需要提前将接受报告机关的联系方式进行整理,以方便发生安全事件后及时沟通。另外,需要将处置安全事件时可能使用的各类模板准备妥当,处置时直接进行填写即可,既能保证效率,又能确保没有遗漏。尽管《网络安全法》仅要求关键信息基础设施的运营者开展应急预案的演练,但所有的网络运营者都应当重视演练,避免事件真实发生时手忙脚乱,让应急预案。
在“外部-事前预防”象限:隐私政策与协议是企业建立与用户、第三方之间法律关系最为重要的法律文件,需要将一旦发生安全事件后如何处置纳入文本。在与第三方的合作中,常常会有委托第三方或受第三方委托处理数据的情形,那么需要在合同中明确双方在信息安全事件中通知时限以及配合处置调查的义务,并且将网络安全事件与合同解除、违约责任相挂钩。此外,鉴于网络安全事件不可避免,网络安全保险也是风险转移的有效途径之一。企业可以通过选购合适的保险,让事件发生后可以通过保险机制来减少损失。
在“内部-积极应对”象限:虽然处理安全事件主要由信息安全人员与技术人员负责,但法务与外部律师仍需要作为响应小组的成员介入处置,根据事件的性质判断可能的法律风险,尤其是需要为处置过程中日志信息的调查取证提供法律意见,确保在对日志操作过程中不破坏原始证据。安全事件发生后,需要根据应急预案组建团队、启动处置流程,尽快业务正常运转。根据事件的类型与严重程度,组建响应团队。不同类型事件处理需要的人员配置并不相同:比如初步判断是员工导致的网络安全事件,则需要HR部门加入响应团队,因为可能涉及相关员工的纪律处分;又如某事件如果涉及第三方,则需要法务部门找出合作协议,确定与第三方之间关于事件处理的权利义务。
在“外部-积极应对”象限:一旦发生网络安全事件,与时间赛跑就已经开始,GDPR要求72小时内进行报告,在《网络安全等级保护条例(征求意见稿)》中这一时限被缩短到24小时。在与监管部门和用户沟通的过程中,均可能触发媒体及公众更为广泛的关注,因此所沟通的内容需要法务(律师)、公共关系部门(PR)、甚至是政府关系部门(GR)谨慎把关。此外,在事件发生后客服可能会面临问询数量的激增,因此客服团队需要就扩容并针对事件提供统一的说明做好准备。
史宇航:法学博士,执业律师,注册信息安全专业人员(CISP),注册信息隐私管理人员(CIPM),汇业律师事务所顾问。
来源:freebuf.com 2021-02-03 10:50:11 by: acstar
请登录后发表评论
注册