旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      “45亿条个人信息泄露”,对企业处理用户个人信息有何启示?

      扫一扫下载界面新闻APP

      其他途径关注界面…

      “45亿条个人信息泄露”,对企业处理用户个人信息有何启示?

      在个保法时代,企业在个人信息处理过程中,为避免数据泄露,需要依据相关法律规定履行责任。

      高佳GJ · 来源:界面新闻

      图片来源:视觉中国

      界面新闻记者 | 高佳

      界面新闻编辑 | 刘海川

      近日,一则有关“45亿条个人信息泄露”的爆料引发舆论关注。

      国内某安全行业上市公司在其官方公号发布的文章《不要泄露!疑似45亿条国内个人信息泄露背后的数据安全账》中称,2月12日晚,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称,该机器人泄露了国内45亿条个人信息,疑似电商或快递物流行业数据。

      据媒体贝壳财经报道,此次信息泄露源头是名为“星链”的黑灰产频道(注:黑灰产指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为)。其在说明文字中表示已设置一个查询机器人,用户输入电话号码便能查询关联的姓名和地址信息。

      有不愿具名的安全行业从业者介绍,从搜索结果和类型上看,此次45亿条个人信息或由包括头部电商在内的多个信息源拼接而成。

      上述安全行业上市公司文章中称,近年发生的数据泄露往往由3种原因导致。一是网络攻击;二是内部泄漏;三是数据在各组织之间的流通受阻,数据给出后无法收回。

      2月15日,“星链”频道关闭,其声明称数据已全部销毁,所有账号id已全部注销。但此次爆料再度将个人信息保护的重要性,尤其是企业保护用户信息的重要性搬上台面。

      近年,国内个人信息保护立法体系已逐渐完善。2021111日正式施行的个人信息保护法,为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了更全面的、体系化的法律依据。

      北京市东元(深圳)律师事务所律师张宗保告诉界面新闻,在个保法时代,企业在个人信息处理过程中,为避免数据泄露,需要依据相关法律规定履行责任。

      依据个人信息保护法第五十一条的规定,在个人信息处理过程中,为避免数据泄露,企业需要采取一定的预防措施。例如制定内部管理制度和操作规程、对个人信息实行分类管理等。

      张宗保介绍,如果企业处理个人信息达到国家网信部门规定数量,依据个人信息保护法第五十二条规定,还需要指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。如果发生或者可能发生个人信息泄露、篡改、丢失,依据个人信息保护法第五十七条规定,企业还应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。

      上海道朋律师事务所律师王兴华则提醒,企业对于网络技术措施的保障,还应当符合网络安全法中相关规定。如第二十一条,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

      那么,针对近年常见的数据内部泄露的问题,员工泄露客户信息,是否能成为企业免责的借口?

      王兴华告诉界面新闻,如果员工的行为是履职的一部分,构成职务行为,根据民法典第一千一百九十一条规定,“用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任。用人单位承担侵权责任后,可以向有故意或者重大过失的工作人员追偿”,职务行为造成的损害完全由用人单位来承担相应的法律责任,并且如果该行为涉及犯罪的,企业同样有可能成为承担刑事责任的主体。

      如果是员工利用职务之便作出的个人行为,其法律责任首先应当由个人承担,但企业依然有可能要面临承担民事赔偿、行政处罚等后果。”王兴华称。

      个人信息保护法第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

      在这种情况下,涉事企业需要承担的是无过错责任,企业需要主动证明自己已严格履行了个保法、网安法等法律的规定,切实做到了合规的各项要求,这样才有可能免除或减轻自身的责任。”王兴华解释。

      当企业违反个人信息保护法要求,会产生哪些严重后果?

      张宗保总结,企业违反个人信息保护法的法律责任分为行政责任、刑事责任、民事责任三类。

      行政责任方面,依照个人信息保护法第六十六条第一款规定:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

      民事责任方面,个人信息保护法第六十九条第一款规定:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

      另据个人信息保护法第六十六条规定,……有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照……

      王兴华介绍称:“该等法律后果中最高可处五千万元以下或者上一年度营业额百分之五以下罚款在当时颁布个保法时应达到了罚款金额之最,且该规定也在对某出行平台企业的80亿罚款中得到了援引。”

      对企业而言,为避免数据泄露,上述提及制定内部管理制度、对个人信息进行分级分类、采取安全技术措施等都很重要,王兴华认为,“除此之外,企业各级人员对于数据安全管理思想上的重视也应该加强。”

      在个人信息保护法正式出台前,从2000年左右开始,国内就在不同的规范性法律文件中逐步关注或提及“个人信息”保护,并初步建立起了一些相应制度。王兴华强调,“最近34,企业等各组织开始重视执行个人信息保护的工作,还有多企业在未受其害时并不重视。”

      “在大数据时代下,随着数字经济的蓬勃发展,这种不重视带来的损害是可以预见的。”王兴华说:“企业管理层对此的重视程度,是关系到数据合规能做到何种程度的基础。其次,加强中层管理人员对数据合规的了解、掌握,是数据合规做全做实的关键。”

      王兴华呼吁企业就数据安全教育对所有员工进行普及。“据业内人士透露,国内目前相当部分的企业数据泄漏来自于企业内部的疏忽大意。该疏忽大意不仅是技术等相关岗位,而是存在于各个部门,一封最简单的钓鱼邮件就可能让企业的后台门户大开,因此,对于企业全员的安全培训既是法律要求,也是扎进数据安全篱笆的重要一环。”王兴华称。

      张宗保提醒,如果企业属于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,依据个人信息保护法第五十八条规定,企业按照国家规定建立健全个人信息保护合规制度体系;制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。

      未经正式授权严禁转载本文,侵权必究。
      镜面
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博

      “45亿条个人信息泄露”,对企业处理用户个人信息有何启示?

      在个保法时代,企业在个人信息处理过程中,为避免数据泄露,需要依据相关法律规定履行责任。

      高佳GJ · 2023/02/22 12:29来源:界面新闻

      图片来源:视觉中国

      界面新闻记者 | 高佳

      界面新闻编辑 | 刘海川

      近日,一则有关“45亿条个人信息泄露”的爆料引发舆论关注。

      国内某安全行业上市公司在其官方公号发布的文章《不要泄露!疑似45亿条国内个人信息泄露背后的数据安全账》中称,2月12日晚,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称,该机器人泄露了国内45亿条个人信息,疑似电商或快递物流行业数据。

      据媒体贝壳财经报道,此次信息泄露源头是名为“星链”的黑灰产频道(注:黑灰产指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为)。其在说明文字中表示已设置一个查询机器人,用户输入电话号码便能查询关联的姓名和地址信息。

      有不愿具名的安全行业从业者介绍,从搜索结果和类型上看,此次45亿条个人信息或由包括头部电商在内的多个信息源拼接而成。

      上述安全行业上市公司文章中称,近年发生的数据泄露往往由3种原因导致。一是网络攻击;二是内部泄漏;三是数据在各组织之间的流通受阻,数据给出后无法收回。

      2月15日,“星链”频道关闭,其声明称数据已全部销毁,所有账号id已全部注销。但此次爆料再度将个人信息保护的重要性,尤其是企业保护用户信息的重要性搬上台面。

      近年,国内个人信息保护立法体系已逐渐完善。2021111日正式施行的个人信息保护法,为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了更全面的、体系化的法律依据。

      北京市东元(深圳)律师事务所律师张宗保告诉界面新闻,在个保法时代,企业在个人信息处理过程中,为避免数据泄露,需要依据相关法律规定履行责任。

      依据个人信息保护法第五十一条的规定,在个人信息处理过程中,为避免数据泄露,企业需要采取一定的预防措施。例如制定内部管理制度和操作规程、对个人信息实行分类管理等。

      张宗保介绍,如果企业处理个人信息达到国家网信部门规定数量,依据个人信息保护法第五十二条规定,还需要指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。如果发生或者可能发生个人信息泄露、篡改、丢失,依据个人信息保护法第五十七条规定,企业还应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。

      上海道朋律师事务所律师王兴华则提醒,企业对于网络技术措施的保障,还应当符合网络安全法中相关规定。如第二十一条,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

      那么,针对近年常见的数据内部泄露的问题,员工泄露客户信息,是否能成为企业免责的借口?

      王兴华告诉界面新闻,如果员工的行为是履职的一部分,构成职务行为,根据民法典第一千一百九十一条规定,“用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任。用人单位承担侵权责任后,可以向有故意或者重大过失的工作人员追偿”,职务行为造成的损害完全由用人单位来承担相应的法律责任,并且如果该行为涉及犯罪的,企业同样有可能成为承担刑事责任的主体。

      如果是员工利用职务之便作出的个人行为,其法律责任首先应当由个人承担,但企业依然有可能要面临承担民事赔偿、行政处罚等后果。”王兴华称。

      个人信息保护法第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

      在这种情况下,涉事企业需要承担的是无过错责任,企业需要主动证明自己已严格履行了个保法、网安法等法律的规定,切实做到了合规的各项要求,这样才有可能免除或减轻自身的责任。”王兴华解释。

      当企业违反个人信息保护法要求,会产生哪些严重后果?

      张宗保总结,企业违反个人信息保护法的法律责任分为行政责任、刑事责任、民事责任三类。

      行政责任方面,依照个人信息保护法第六十六条第一款规定:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

      民事责任方面,个人信息保护法第六十九条第一款规定:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

      另据个人信息保护法第六十六条规定,……有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照……

      王兴华介绍称:“该等法律后果中最高可处五千万元以下或者上一年度营业额百分之五以下罚款在当时颁布个保法时应达到了罚款金额之最,且该规定也在对某出行平台企业的80亿罚款中得到了援引。”

      对企业而言,为避免数据泄露,上述提及制定内部管理制度、对个人信息进行分级分类、采取安全技术措施等都很重要,王兴华认为,“除此之外,企业各级人员对于数据安全管理思想上的重视也应该加强。”

      在个人信息保护法正式出台前,从2000年左右开始,国内就在不同的规范性法律文件中逐步关注或提及“个人信息”保护,并初步建立起了一些相应制度。王兴华强调,“最近34,企业等各组织开始重视执行个人信息保护的工作,还有多企业在未受其害时并不重视。”

      “在大数据时代下,随着数字经济的蓬勃发展,这种不重视带来的损害是可以预见的。”王兴华说:“企业管理层对此的重视程度,是关系到数据合规能做到何种程度的基础。其次,加强中层管理人员对数据合规的了解、掌握,是数据合规做全做实的关键。”

      王兴华呼吁企业就数据安全教育对所有员工进行普及。“据业内人士透露,国内目前相当部分的企业数据泄漏来自于企业内部的疏忽大意。该疏忽大意不仅是技术等相关岗位,而是存在于各个部门,一封最简单的钓鱼邮件就可能让企业的后台门户大开,因此,对于企业全员的安全培训既是法律要求,也是扎进数据安全篱笆的重要一环。”王兴华称。

      张宗保提醒,如果企业属于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,依据个人信息保护法第五十八条规定,企业按照国家规定建立健全个人信息保护合规制度体系;制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。

      未经正式授权严禁转载本文,侵权必究。