有一天深夜,我收到一个客户的紧急求助电话,说他们公司的数据库被人入侵了,几百万条用户信息被窃取。电话那头的声音很焦急,但我印象更深的不是紧张情绪,而是接下来的一句话:"我们现在该怎么办?该跟谁说?"这个问题其实问到了很多企业的知识盲区。大家知道出了数据安全事件要报告,但具体向谁报告、多长时间内报告、报告什么内容,很多人并不清楚。今天我就把这个报告义务掰开揉碎了讲清楚。
先看法律是怎么规定的。网络安全法要求,网络运营者在发生网络安全事件后,应当按照规定向有关主管部门报告。数据安全法进一步明确,数据处理者在发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,并按照规定及时告知用户并向有关主管部门报告。个人信息保护法的要求更加具体:个人信息泄露、篡改、丢失后,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知的内容至少包括事件的原因、泄露的信息种类和数量、可能产生的影响、已经采取的补救措施、以及可以联系的方式。
那么问题来了,"及时"和"按照规定"到底是什么意思?目前比较明确的实操指引来自相关的管理办法和标准。对于重大数据安全事件,一般要求两小时内向主管部门报告。什么叫重大事件?包括导致大量用户敏感信息泄露、造成较大经济损失、引发社会关注的舆情事件、或者涉及重要数据泄露的情况。对于一般性的事件,要求在二十四小时内报告或者按照行业主管部门的具体要求执行。很多行业还有自己的专门规定,比如金融行业、医疗行业、电信行业,对数据安全事件的报告时限和内容都有细化的要求。所以企业首先要确认自己所属行业有没有特殊规定。
接下来是报告的对象。一般来说,数据安全事件需要向以下几个方向报告:一是行业主管部门,比如企业的直接监管机构;二是网信部门,特别是涉及个人信息或者重要数据的重大事件;三是公安机关,如果事件涉嫌犯罪的话。第三方向用户的告知也不能忽略。按照个人信息保护法的要求,发生个人信息泄露时,必须通知受影响的个人。如果事件影响范围大、涉及人数多,通知的方式不能是个别发短信,而要通过网站公告、媒体报道等公开渠道广而告之。有些企业担心通知用户会影响品牌声誉,于是选择隐瞒不报,这种做法风险很大,一旦被查出来,处罚比主动报告要严重得多。
再说报告的内容。一份完整的报告应该包括:事件的基本情况,包括发生的时间、地点、发现经过;事件的性质和影响范围,比如泄露了哪些类型的数据、涉及多少人、可能造成什么后果;已经采取的应急措施,包括如何阻断攻击、如何恢复系统、如何保护剩余数据的安全;事件处置的进展和企业联系方式。这里有个注意事项:报告不是一次性给完所有信息就结束了,要根据事件的处置进展持续更新报告,直到事件完全解决。对于比较复杂的重大事件,后续还可能需要提交事件溯源分析报告和整改措施落实情况报告。
还有一个容易被忽略的点:事件发生前的准备工作。数据安全事件的报告时限非常紧张,如果等到事发了才去查应急流程,肯定来不及。所以企业需要提前做好三件事:一是制定数据安全事件应急预案,明确事件的发现、报告、处置、复盘每个环节的流程和责任人;二是建立应急响应团队,成员要包括技术、法务、公关、管理层等各条线的代表;三是定期组织应急演练,让相关人员熟悉应急处置流程,别到了真出事的时候手忙脚乱。演练不用太复杂,一季度一次桌面推演,一年一次实战演练,就基本能保证应急响应能力在线了。
从一个更全局的视角来看,数据安全事件的报告义务本质上是监管与企业之间的一种信息对称机制。通过及时报告,监管机构可以了解整体威胁态势,给出针对性的指导建议;企业也可以得到专业的支持和资源协调。主动、透明的报告态度,反而更容易获得监管的理解和帮助,而隐瞒和拖延只会让事情变得更加糟糕。
