澳门威尼斯人娱乐场-Venetian Macao Casino(访问: hash.cyou 领取999USDT）数据安全核心的两个风险是数据滥用和数据泄露。对于数据滥用问题，可以通过严格的法律规则来保证规范的数据处理，从而防范数据滥用。但是，数据泄露却并非可以完全避免，它不仅是内部风险，也经常因为外部攻击而发生数据泄露。数据泄露一直都是数据治理领域的长盛不衰的新闻话题，像是悬于企业头顶的达摩克利斯之剑。我国早在2012年，就对数据泄露问题作出了法律规定，《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等重要法律法规中均涉及数据泄露问题，今年再次公开征求意见的《网络安全法（修改再次征求意见稿）》中也拟对大量数据泄露的情形规定严格的法律责任。然而，数据泄露从未停止，反而总能成为头条新闻，在各类统计盘点中不断翻新记录，加剧数据焦虑但又难以杜绝。

　　虽然世界各国均在不断推进数据立法和数据保护监管行动，但是过去十几年来，全球范围内数据泄露仍然呈现持续上升的趋势。IBM Security发布的《2024年数据泄露成本报告》（Cost of a Data Breach Report）显示，2024年数据泄露的全球平均成本上升至488万美元，再次达到历史新高，比2023年增加了10%，是自2020年以来增幅最大的一年。而就在2020年，据中国信息通信研究院透露，2020年全球数据泄露的数量超过了过去15年的总和。当时，数据泄露就成为亟需解决的数据安全问题。《2024年数据泄露成本报告》发现，医疗健康、金融服务、制造、科技和能源企业的数据泄露成本最高，其中医疗健康企业已经连续14年付出最高的数据泄露成本，平均达到977万美元。奇安信发布的《2024中国政企机构数据安全风险研究报告》显示，2024年全球至少有471.6亿条数据泄露，较2023年的103.8亿条增长了354.3%。报告指出，全球范围内，IT产业、生活服务业和互联网行业是数据安全事件高发行业；而国内的互联网、政府及事业单位、制造业、医疗、金融、教育等行业是高发行业。

　　值得反思的是，随着数字社会不断形成和成熟，人们数据保护意识持续提升，企业也在不断加大数据保护投入，但是数据泄露的情况并未好转，反而似乎在更为恶化。可是到了今天，数据泄露仍处于上升趋势，并未因为问题之迫切而得以妥善解决。根据Verizon《2024年数据泄露调查报告》显示，漏洞、勒索软件、人的因素是数据泄露的主要诱因。Verizon历年报告显示，2021年85%的数据安全时间涉及人的因素，2022年为82%，2023年为74%。2024年，Verizon对人的因素的计算指标进行了调整，排除了滥用特权等主动恶意行为，但仍然有68%的数据安全事件涉及非恶意的人为因素。可以说，应对数据泄露在“人的因素”方面还有很多工作要做。如何提升从高层到基层员工的数据安全意识，更为准确地认识数据泄露并采取合理的行动，是企业防范数据泄露的前提和关键内容。

　　国内相关数据立法中均对数据泄露作出了相关规定，虽然内涵基本一致，但在表述上有所不同（详见下表）。实际上，数据立法中的“数据泄露”的内涵要超出其字面含义。EDPB在其《关于数据泄露通知案例的指南》（Guidelines 01/2021 on Examples regarding Data Breach Notification）中及其他相关指南中均指出，数据泄露（data breach）主要有三种典型形式：（1）破坏机密性，导致个人信息被未经授权或者意外地访问或者公开；（2）破坏完整性，导致个人信息被未经授权或者意外的篡改；（3）破坏可用性，导致个人信息因意外或者未经授权地毁损或者丧失访问权。

　　结合国内外规定综合理解，data breach所指向的法律制度具有一致性。它不仅是一种对数据本身的破坏，而且是一种对安全义务的破坏，结果上表现为数据安全状态的丧失。这种破坏包括毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为等等，从而产生了breach的实际后果。所以说，数据泄露与数据安全保障义务密切相关，数据泄露在法律意义上指的是破坏了数据安全状态，而这种破坏可能是因为违反了数据安全保障义务所导致的。需要注意的是，两者之间又不必然具有因果关系。有些企业在采取了适当的安全保障措施后，仍然不幸地发生了数据泄露事件。因此，世界各国在数据立法中广泛地建立了数据泄露通知制度，以此作为应对数据泄露的有效法律手段。

　　数据泄露通知制度是指当企业发生数据泄露事件时，按照相关法律法规和内部政策要求，及时向受影响的用户、监管机构等相关方发出通知和报告的制度。其主要目的是保护用户的隐私权和数据安全，确保受影响的用户能够及时了解泄露事件的情况，采取必要的措施来减少损失和风险。通过向监管机构报告，有助于监督机构更好地调配资源以降低数据泄露的损失。IBM《2024年数据泄露成本报告》中指出，执法部门的参与可以降低泄露成本，平均降低了20%以上（近100万美元）。同时，监管机构还可以及时了解数据泄露事件的情况，加强监管和追责。

　　数据泄露导致数据丧失安全状态的结果，应该是数据处理者并不期望发生的，或者其发生已经超出了数据处理者的控制能力范围。EDPB《关于个人数据泄露通知制度的指南2.0版》（Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0）中指出，数据泄露的结果是数据控制者（data controller）不能确保根据GDPR第5条的要求处理个人数据。恰恰是因为数据泄露难以绝对避免，而其又具有相当的数据安全风险，所以才对企业规定了通知的义务。数据泄露通知制度的通知，不具有自首的性质，也不是要求企业“自证其罪”。它的核心要义是，要求企业采取通知的行动，获取主管机关的指导或者资源支持，避免用户以及企业自身的进一步损失。

　　具体理解数据泄露通知制度的独立性，需要考虑实践中可能出现四种情形（见下图）：（1）履行了数据泄露通知义务，也履行了数据安全保障义务——不承担任何法律责任；（2）履行了数据泄露通知义务，而数据安全保障义务未履行——不产生泄露不通知的法律责任，但要承担未履行数据安全保障义务的法律责任；（3）未履行数据泄露通知义务，而履行了数据安全保障义务——不承担数据安全保障义务的法律责任，但要承担不通知的法律责任；（4）未履行数据泄露通知义务，也未履行数据安全保障义务——既要承担不通知的法律责任，也要承担未履行数据安全保障义务的法律责任。

　　数据泄露通知制度具有独立性，是因为数据泄露本身的风险性，需要在短时间内调动足够的资源应对安全隐患，避免发生更恶性的后果。数据泄露通知本质上就是信息共享机制，而信息的来源就是企业。数据泄露通知制度应该设置单独的法律责任（很多数据泄露通知制度都有单独法律责任），以防止企业担心通知后产生对己不利的后果，而不采取通知的行动。事实上，全面推进落实数据泄露通知制度后，数据泄露的不利影响反而会大幅下降，变成常态化的社会风险事件，由政府、企业、个人以及专业第三方机构共同应对。而不应陷于企业被动曝光后（或者未被曝光但仍需自行应对）独自承担风险后果的非良性循环局面。

　　大多数国家和地区都有关于数据泄露通知的规定，比如欧盟的GDPR中就要求，数据控制者发现数据泄露后，必须在72小时以内通知监管机构。根据IBM《2024年数据泄露成本报告》，美国是平均数据泄露成本最高的国家，达到936万美元。但是，美国在联邦层面没有统一的数据泄露通知法，但多个行业性法规涉及数据泄露通知要求。例如，《健康保险携带和责任法案》（HIPAA）要求受管辖的实体在发生数据泄露时，向卫生与公众服务部报告，并在发现违规行为后60天内通知受影响的个人。如果涉及500人以上，还需通知媒体。通知内容包括违规事件描述、涉及信息类型、个人应采取的保护措施等；《格雷姆-里奇-比利雷法案》（GLBA）适用于金融机构，要求其在发现客户信息未经授权被访问时，尽快通知监管机构和受影响的客户；《联邦证券法》要求上市公司在发生重大网络事件时，向证券交易委员会披露相关信息。

　　虽然联邦层面没有统一的数据泄露通知法，美国所有50个州、哥伦比亚特区都早已出台了数据泄露通知相关规定，要求发生个人数据泄露时履行通知义务。大多数州的数据泄露通知法要求通知受影响的个人，部分州还要求通知州监管机构或信用报告机构，通知方式可以采用书面、电子通知或替代通知（如电子邮件、网站公告、媒体通知）。例如，纽约州于2005年出台了《信息安全漏洞和通知法案》，2019年又将其修订为《盾牌法案》（Shield Act）。《盾牌法案》扩大了个人数据的类型（增加了生物特征信息、用户名、电子邮件地址以及密码凭证），要求公司采取技术保障措施，保护个人数据安全。根据《盾牌法案》，对于未能及时通知的情况，法院可能会对每次未通知处以最高 20 美元的民事罚款，但最高不超过 250,000 美元。对于未能维持合理的保障措施，法院可能对每次违法行为处以最高 5,000 美元的民事罚款；加州民法典（California Civil Code）1798.29中也规定了发生数据泄露的通知义务，除特殊情况外，必须尽可能快地通知。如果单次数据泄露涉及500人以上的加州居民个人信息，就必须以电子方式通知加州总检察长。数据泄露通知必须以书面形式、平实语言完成，并应注明“数据泄露通知”（Notice of Data Breach）。通知内容应当包括：（1）发生了什么？（2）涉及哪些数据？（3）我们做了什么？（4）你能做什么？（5）其他更多信息。

　　通常来说，数据泄露通知要求在尽可能短的时间内完成，大多数州要求在发现数据泄露后的30至60天内通知，但也有一些例外情形。例如加州明确，如果通知会影响刑事调查，则可以延迟通知。2023年11月，加州长滩市发生了严重数据泄露，涉及超过30万加州居民的敏感个人信息，但是直至2025年4月14日，长滩市才提交了数据泄露通知。此外，美国财政部下属的货币监理署（Office of the Comptroller of the Currency）近期被报道称，其电子邮件系统遭遇了重大入侵，黑客在一年多内监视了超过100个账户，并可能获取有关美国联邦监管金融机构财务状况的敏感信息，这一数据泄露事件被认定为重大事件，此次数据泄露事件于2月中旬首次被发现，但一些银行直到4月此事经过报道后才得知其规模和影响，因此，此次事件也引发了公众及相关金融机构对美国货币监理署应对措施、保障措施及数据泄露通知制度的质疑。

　　建议企业提升数据安全保护意识，确保数据安全保障义务落实到位。数据安全保障义务需要持续投入和动态合规，且在数据泄露通知制度中具有终局性的效果——如果违反了数据安全保障义务，则难以免除法律责任。因此，需要按照《个人信息保护法》《网络数据安全管理条例》等规做好企业数据合规工作，特别是要结合企业自身规模、性质等，落实有关风险评估、影响评估、应急演练等法律规定，在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持，确保不违反硬性的数据安全保障义务。返回搜狐，查看更多