全球个人信息泄露态势及应对思路

个人信息是数据泄露的重灾区。个人信息泄露引发的网络身份盗窃往往会导致金融诈骗、信用欺诈等后果出现，成为黑客的重点关照对象，也是暗网中销售的主要数据类型。

一是几乎所有数据泄露事件都涉及个人信息。

在71起数据泄露事件之中，涉及个人信息的有68起，姓名以及联系方式等身份标识信息被普遍泄露，累计超过48亿人次的个人信息被泄露，发生在美国的数据泄露事件最多，占比39%。

二是医疗和社交领域个人数据泄露规模较大。

个人医疗信息泄露事件占比15%，德国研究机构调查了全球2300个医学图像存档系统，发现来自52个国家的2430万份患者的数据能够公开访问，其中包含7.37万张高清医学图像，我国14个服务器泄露了27.9万份患者数据。在个人社交信息方面，累计超过了12亿人次的脸书用户信息被泄露，主要是美国、英国和越南的脸书用户受到较大影响。

三是部分大型互联网企业的用户个人信息泄露频繁。

一方面，泄露来自大型互联网企业未能管控好第三方应用程序。今年4月，脸书连续发生两起个人信息泄露事件，分别由第三方应用程序Cultura Colectiva和At the Pool导致，有超过5.5亿脸书用户数据被泄露。

另一方面，黑客技术导致大型互联网企业用户个人信息泄露。今年7月，以色列网络安全公司NSO集团开发了能够从苹果、谷歌、脸书、亚马逊和微软云服务器中获取敏感数据的恶意软件，该公司的相关产品已被多个间谍机构和政府使用。

四是政府部门造成公民个人信息被大规模泄露。

今年7月，有超过500万的保加利亚人（占总人口比例71.4%）税务信息被泄露；8月，超过1430万智利人（占总人口比例80%）的选举相关信息被泄露；9月，厄瓜多尔全民个人信息和部分已死亡的公民信息被泄露，或将带来全国性信用和金融诈骗猖獗。

数据库未得到正确配置和黑客攻击是个人信息被泄露的主因，必须高度关注多源数据融合致使个人信息被挖掘。导致数据泄露的原因多种多样，包括云上数据库未得到正确配置、网络钓鱼、勒索攻击以及机构内部泄露、多源数据汇聚后被挖掘分析等。

一是有40.8%的数据泄露事件是由数据库未得到正确配置所致。

部分企业的数据库未加密且没有任何身份认证措施，致使数据可通过互联网被公开访问，特别是云上数据安全堪忧，占比15.2%的数据泄露事件源于托管在亚马逊和微软云服务器上的数据库能够被公开访问。

二是占比27.8%的数据泄露事件是黑客攻击所致。

今年2月份，以色列加密货币交易平台Coinmama被黑客攻击，用户电子邮件和哈希密码泄露。

三是多源数据融合导致个人信息被挖掘也是数据泄露的一种形式。

尽管在爬虫等应用逐渐增多的情况下，这些数据可能是通过公开渠道合法采集到的。例如，去年11月，研究人员发现了一个涉及12亿人信息的公开数据库，该数据库中的信息采集自脸书、Linkedln及Twitter、GutHub等网站和一些数据经纪人，其数据来源合法，但研究人员发现其中多源数据融合导致的隐私问题极多。

政府部门个人信息泄露现象不容忽视。政府部门汇聚和掌控了大量涉及国家安全以及个人隐私的数据，在2019年的数据泄露事件中，由于政府门户网站被攻击或存在严重漏洞、政府云上数据库未得到正确配臵等原因导致的数据泄露事件占比达7%。

71.4%的保加利亚国民个人信息、679万印度国民个人信息（存储在印度国家身份认证系统Aadhaar中）等，均是从政府部门直接泄露；澳大利亚泄露国民18亿条出行信息，则是由于政府部门在开放数据过程中未能做好数据脱敏，致使个人信息被重新识别。上述事件表明，政府部门必须高度重视数据安全方面的工作。

数据泄露通知是指数据控制者将泄露情况通知给监管机构和受影响自然人的制度。全球数据泄露通知立法始于美国加利福尼亚州2002年出台的《数据安全泄露法》，随后被欧盟、韩国、澳大利亚、新加坡、加拿大等国家或地区广泛采纳。

一是美国各州制定《数据泄露通知法》，对金融和医疗等行业立法也做出了相关规定。

美国《数据泄露通知法》普遍规定了适用主体范围、PII（可识别个人信息）的定义、触发通知的要素、评估损失和通知公众的程序、赔偿及具体实施机构、罚款规则等。

在州政府层面，随着2018年南达科他州和阿拉巴马州颁布《数据泄露通知法》，全美50个州均实现了数据泄露通知的专门立法。近两年，阿肯色州、伊利诺伊州、缅因州、新泽西州等开展了《数据泄露通知法》的修订工作，重点是扩大PII定义、缩短通知时间、增加泄露主体机构在数据泄露后的信用监控职责等。

例如，阿肯色州以及新泽西州分别将生物识别数据、用户网上账户纳入PII的范畴；缅因州将数据泄露后需告知受影响公众的时间改为30天；康涅狄格州则要求企业向社保号遭到泄露的个人提供两年的免费身份盗窃防护服务和补救服务。

在行业层面，联邦预算管理办公室的《健康保险责任法》、《金融服务法现代化法案》等对相应行业个人信息泄露通知进行了规定。在州立法和联邦立法协同方面，州立法普遍增加了“安全港”准则，即医疗健康、金融等个人信息被泄露时，应遵守联邦立法的规定。

二是欧盟GDPR做出相关规定。

GDPR规定，个人数据被泄露时，控制者应当在知道之时起72小时内向监管机构报告，除非不会给自然人权利和自由造成风险；若可能给自然人权利和自由造成高风险，则需要通知数据主体。截至今年1月底，各企业向欧洲经济区内数据保护监管机构通报的个人数据泄露事件已达160921起。

三是韩国、澳大利亚、加拿大以及新加坡等效仿美、欧建立数据泄露通知制度。

例如，韩国《信息通信网络的利用促进与信息保护等相关法》、加拿大《个人信息保护和电子文档保护法案》、新加坡《2020年个人数据保护法案（修订法案）》等。

其中，加拿大的法案还要求组织保留个人信息泄露记录，保留期限至少两年，该记录将成为隐私专员办公室判断组织是否违反法案的依据。

新加坡今年5月份发布的《2020年个人数据保护法案（修订法案）》，在2012年个人数据保护法的基础上引入了强制性数据泄露通知的规定。为帮助数据控制者评估数据泄露对个人潜在危害的程度，新加坡通信和信息部、个人数据保护委员会将制定一个数据目录，包括驾驶证号码、信用卡号码、居民身份证号等，此类数据一旦泄露将对个人造成重大危害。

四是在标准指南制定层面，指导数据控制者落实数据泄露通知责任。

欧盟多家数据保护机构发现，长期以来数据控制者一直存在数据泄露通知不及时、不充分、重复通知，以及难以评估数据泄露风险等级等问题。

为此，2018年11月-2019年10月，欧洲数据保护专员公署、波兰个人数据保护局、爱尔兰数据保护委员会先后发布了个人信息泄露通知相关指南，明确了数据泄露通知包含的要素、通知监管机构和个人的方式、通知时间、风险评估的关键要素等，并要求数据控制者留存数据泄露事件、通知及采取的补救措施等相关记录，监管机构将对记录进行访问，以验证相关行为是否合法。

欧盟、美国等国家和地区普遍对未能采取有效措施而导致个人数据泄露的组织采取罚款等形式进行处罚。

例如，2019年7月，美国征信巨头Equifax被FTC罚款5.75亿美元，因为其2017年未能在数据库中及时完善Apache Struts框架且在发现该问题数周内未及时通知监管机构和公众，导致美国近1.5亿人的财务信息被泄露；Equifax还承诺，要为消费者提供现金补偿，并每两年开展一次信息安全计划的第三方评估。

2019年7月，万豪国际酒店被英国信息专员办公室罚款1.24亿美元，原因是其泄露了3.83亿用户的个人信息，同时未能及时通知和报告数据泄露情况。此外，2019年，医疗机构Cottage Health和Touchstone医学影像、脸书均因数据泄露分别被美国、巴西的主管机构处以罚款。

我国数据泄露通知相关规定包含在《电信和互联网用户个人信息保护规定》和《网络安全法》中，建议在《数据安全法》、《个人信息保护法》以及相关指南标准中，进一步明确和细化相关规定。

一是明确数据泄露通知的程序和内容。

程序上包括通知部门、触发通知的条件、通知部门和受影响自然人的时限和形式、数据泄露日志的内容和保留时限等。内容上包括数据泄露的原因和字段、数据泄露事件影响的严重程度、已造成和可能造成的后果、已采取或拟采取的补救措施等。

二是评估数据泄露影响需要考虑的因素。

数据泄露影响评估旨在判断其是否达到触发通知的条件、可能造成的后果，以及需采取的补救措施等。

建议在评估过程中考虑以下因素：是否泄露敏感个人数据或重要数据，是否在数据泄露前已采取适当的技术保护措施加以保护（例如加密或匿名），是否会导致身份欺诈、金融诈骗、名誉损害等严重危害个人利益的问题，是否造成数据跨境泄露等。

《数据安全法（草案）》第四十二条规定，开展数据活动的组织造成大量数据泄露等严重后果的，应处10万元以上100万元以下罚款。

与欧、美国家的执法机构动辄上亿美元的罚款相比，该处罚力度难以对造成数据泄露事件的组织形成有效威慑，建议进一步加大处罚力度，倒逼数据控制者完善数据保护措施。

此外，应借鉴美、欧等国家和地区的执法经验，在处罚细则方面增加涉事主体对自然人赔偿、为自然人提供免费信用监控，以及由第三方专业机构定期评估涉事主体数据安全情况等内容。

鉴于云和政府数据泄露态势的严重性，一方面要建立主动监测系统，重点监测国内主要云服务系统和政府信息系统数据是否被篡改、非法访问、数据库可公开访问等情况。

另一方面，要组织专业机构对云服务系统和政府信息系统进行定期检查，包括其是否被攻击、非法入侵、存在漏洞，以及数据库是否得到正确配置等。

作者丨赛迪智库 张博卿