欧美在线日韩-欧美在线区-欧美在线看欧美视频免费网站-欧美在线精品一区二区在线观看-www..com黄-vr专区日韩精品中文字幕

中央政法委機關報法治日報社主辦

您所在的位置:首頁  > 法治要聞

建立獎懲機制督導企業主動履行數據安全義務

2022-11-03 07:14:00 來源:法治日報·法治周末

■算法治理

□  丁健琮

近年來,我國數字經濟持續創新迭代,推動社會經濟高速發展,與此同時,高價值的數據資產也被很多不法分子覬覦,大規模數據安全事件屢有發生。

典型的就是2020年新浪微博數據泄露事件。202034日,有暗網用戶發布了一則名為“5.38億微博用戶綁定手機號數據,其中1.72億有賬號基本信息”的交易信息,售價1388美元,泄露數據包括新浪微博用戶的手機號、用戶ID、賬號昵稱、頭像、粉絲數等。當月24日,工信部在官網發布消息,針對新浪微博因用戶查詢接口被惡意調用導致App數據泄露問題,工信部網絡安全管理局于321日對新浪微博相關負責人進行了問詢約談。

因為與隱私有關的數據信息對個人的生命財產安全影響巨大,我國立法機關在構建我國網絡安全法律體系的過程中,高度重視對數據安全事件的處置。近年來,陸續出臺的網絡安全法、數據安全法、反電信網絡詐騙法等與數據安全合規有關的法律法規,對于企業主動通報或公布數據泄露事件均作出了明確規定。

例如,網絡安全法第二十二條要求,網絡產品、服務的提供者發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告;數據安全法第二十九條規定,發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告;反電信網絡詐騙法第二十六條第二款規定,互聯網服務提供者依照本法規定對有關涉詐信息、活動進行監測時,發現涉詐違法犯罪線索、風險信息的,應當依照國家有關規定,根據涉詐風險類型、程度情況移送公安、金融、電信、網信等部門。

國外很多大企業都有主動通報數據安全事件的先例。今年1011日,豐田汽車在一份聲明中表示,有29.6萬名接受T-connect服務的客戶資料可能已經被泄露,時間跨度從201712月一直持續到今年915日,泄露信息包括電子郵箱地址和客戶編號等。今年5月,通用汽車曾發布聲明稱,其注意到今年411日至29日期間,部分在線客戶賬戶出現了可疑登錄,導致在未經用戶授權的情況下,客戶的獎勵積分被兌換成了禮品卡。而在20216月,大眾汽車也曾表示,有將近330萬名客戶或潛在買家的數據遭泄露,信息包含姓名、地址、手機號碼、郵件等。大眾汽車稱該事件是由于其供應商在20198月至20215月期間將客戶數據“未經保護”地留在互聯網上造成的。從上述3起數據泄露事件的公告情況看,涉事企業主體均在發現數據泄露事件后1個月左右主動公布了事件相關情況以及調查進展。但我國實踐中,甚少有企業主動公開發現或查明的數據安全事件。中外企業之所以有如此差異,主要存在三方面原因。

一是違法責任較輕,導致企業存在僥幸心理。

我國數據安全法第四十五條規定,違反本法第二十九條規定的,可以處以責令改正、警告以及罰款等行政處罰,最嚴重的處罰是200萬元以下罰款和吊銷營業執照。與之相對比,英國數據隱私監管機構曾于2019年以違反歐盟GDPR為由,對國際連鎖酒店集團萬豪開出過9900萬英鎊的罰單,執法力度可見一斑。如果我國不能建立與數據泄露造成的后果相適應的處罰標準,作為經營主體的企業不可避免地會滋生僥幸心理,回避履行數據安全相關的法律義務。

二是缺乏獎勵機制,導致企業傾向于瞞報漏報。

在缺乏嚴厲處罰的同時,我國法律對于企業積極主動履行合規義務同樣缺乏獎勵機制。企業在決定是否主動公布數據安全事件時,不僅會考慮監管壓力,還會考慮網民、投資者等多方面的態度和觀感,因此,執法機關需要在給企業施加壓力的同時給予足夠的獎勵,以抵消企業對負面事件影響企業形象、投資價值的擔憂。例如,反電信網絡詐騙法第四十六條第二款規定,電信業務經營者、銀行業金融機構、非銀行支付機構、互聯網服務提供者等違反本法規定,造成他人損害的,依照《中華人民共和國民法典》等法律的規定承擔民事責任;第四十七條規定,人民檢察院在履行反電信網絡詐騙職責中,對于侵害國家利益和社會公共利益的行為,可以依法向人民法院提起公益訴訟。執法機關可以根據上述條文出臺相應政策,規定只要主動報送數據安全事件,企業可以免除在相關事件中的行政和民事責任,不再提起公益訴訟。免除民事責任、避免公益訴訟風險等獎勵措施將有效引導企業積極主動履行數據合規義務。

三是政企合作機制有待建立和優化。

為了支撐企業積極履行數據合規義務,政企之間建立順暢的信息流通和反饋機制必不可少。目前,政企之間關于數據合規和安全情況的報送缺乏規范化、制度化的流通渠道,不同政府部門之間同樣如此。我國網絡安全法規定,網絡安全的主管機關包括網信、電信、公安等部門,無論是要保證處罰措施嚴格有力,還是確保激勵機制落實到位,都離不開主管機關之間的信息同步和協同配合。因此,建議網絡安全的主管機關建立統一的數據安全事件報送平臺,以該平臺的數據作為對企業履行法定數據合規義務獎懲的重要依據,避免因部門不同導致重復處罰、執法尺度差距過大等不利于企業履行數據合規義務的情形。

責編:王碩

聯系我們 | 誠聘英才 | 廣告征訂 | 本站公告 | 法律聲明 | 報紙訂閱

版權所有 Copyrights ? 2014-2022 www.gs91827.cn ALL RIGHTS Reserved 《法治周末》

京ICP備10019071號-1 京報出證字第0143號

京公網安備 11010502038778號