更深入的数据合规与保护要求：数据泄露救济措施及案例

更深入的数据合规与保护要求：数据泄露救济措施及案例

IXCDC

数据泄露救济措施及案例

一、数据泄露后如何依法补救

出现数据泄露等网络安全危机时，数据危机的应对效果能够有效地反应出企业数据安全能力和风险处置能力。及时完善的应对措施能够帮企业减少损失、挽回声誉，否则网络安全事件将进一步升级，对企业造成的损失进一步扩大。

根据《网络安全法》第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

在应急处置时，企业应从以下几方面着手。

1.  准确判断事件性质并采取补救措施

《网络安全法》第四十二条第二款规定，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施。

网络运营者作为数据的直接控制主体，可以通过内外部监控两种方式的结合，第一时间判断是否发生数据泄露。一旦发生网络安全事件，网络运营者需要迅速确认数据泄露范围、数量、种类等，据此对事件性质作出准确判断，以免因粗心大意或盲目自信导致对真实事态的误判。之后应评估可以优先进行保护的部分及可能造成的损失，对应事先制定的应急预案，确定内部分工和具体操作流程，立即采取补救措施控制事态，消除隐患。

2. 准确记录事件内容

根据《信息安全技术 个人信息安全规范》（GB/T 35273-2020）10.1 c）1）条，发生个人信息安全事件后，个人信息控制者应记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门。

准确记录事件内容、依法留存证据是按规定上报及后续复盘的基础，既可以帮助监管部门快速了解情况，也有助于企业自身总结经验教训。

3.及时上报主管部门

《网络安全法》第四十二条第二款规定了网络运营者在发现数据泄露后的通知和报告义务，并在第六十四条规定了若网络运营者、网络产品或者服务的提供者违反此义务，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

在个人信息领域，《信息安全技术 个人信息安全规范》（GB/T 35273-2020）10.1 c）3）条规定，企业应按照《国家网络安全事件应急预案》等有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式。

4.安全事件告知

根据《个人信息保护法》第五十七条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。若个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。

另外，《信息安全技术 个人信息安全规范》（GB/T 35273-2020）10.2条还对此项要求进行了进一步补充。要求安全事件的告知应以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息。告知内容应包括但不限于：①安全事件的内容和影响；②已采取或将要采取的处置措施；③个人信息主体自主防范和降低风险的建议；④针对个人信息主体提供的补救措施；⑤个人信息保护负责人和个人信息保护工作机构的联系方式。

二、面对侵权如何救济自己的权利及案例

造成数据泄露的原因主要可分为内部和外部两种。其中，内部原因包括工作人员疏忽大意的过失及非法的故意，外部原因主要为第三方非法获取或恶意攻击、数据存储服务提供商数据泄露。根据原因不同、侵害程度的不同，企业应采取不同的救济方式。

1.内部员工过失

《劳动合同法》第二十九条规定，用人单位与劳动者应当按照劳动合同的约定，全面履行各自的义务。《民法典》第一千一百八十四条规定，侵害他人财产的，财产损失按照损失发生时的市场价格或者其他合理方式计算。结合二者可以看出，若内部员工没有按照企业相关规章制度进行操作，由于失误导致公司数据泄露造成损失，企业可根据劳动合同要求员工赔偿损失，员工对企业应当承担职务侵权赔偿责任。

同时，企业要求员工赔偿损失，应当从如下几个条件考虑：①企业确存在损失；②员工存在违反规章制度、操作流程或应当遵守的劳动纪律、职业规范等职务侵权行为；③损害与员工的违规行为是否有因果关系；④员工是否有主观过错。对此，企业应当举证证明，承担相应的证明责任。但是由于劳动关系具有人身依附性，企业作为劳动成果的主要享受者，也应当承担一定的经营风险。一般情况下，劳动者的故意或重大过失给用人单位造成经济损失的，劳动者才负赔偿责任。

2.内部员工非法的故意

对于内部员工违反保密义务故意泄露企业数据，公司可根据案件性质、涉案金额、涉案手段、案件影响等选择相应的救济手段。

如果涉案金额不大，可以提起民事诉讼。例如在北京酷讯科技有限公司与郑熙承侵害商业秘密纠纷一案中，被告郑熙担任原告产品岗位工作，任职期间曾利用职务便利给从事原告竞争业务的前同事提供给了公司用户的交易信息。经法院审理，最终认定被告侵害了原告的商业秘密，判决被告赔偿原告经济损失4万元、合理支出6万元。

但如果案情已触犯刑法，即须报警处理，立案、侦查后由人民检察院提起公诉。例如在韦鸿钰非法侵入计算机信息系统一案中，被告人韦鸿钰先后在三家公司工作期间，因工作需要，由其公司在广东电力市场交易系统分别注册了两个账号，被告人使用上述账号登录后，多次通过非法的URL链接（漏洞），侵入该系统，并非法下载全部市场主体的报价申报等非公开数据。经广东省公安厅网络警察总队鉴定：广东电力市场交易系统属于国家事务类计算机信息系统。最终法院判决被告人韦鸿钰犯非法侵入计算机信息系统罪，判处有期徒刑二年。

3.第三方非法获取或恶意攻击

民事诉讼方面，企业可根据案情提起反不正当竞争之诉。例如在北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷一案中，淘友技术公司、淘友科技公司未经新浪微博用户的同意及新浪微博的授权，获取、使用脉脉用户手机通讯录中非脉脉用户联系人与新浪微博用户对应关系。经法院认定，其违反了诚实信用原则及公认的商业道德，损害了互联网行业合理有序公平的市场竞争秩序，一定程度上损害了被上诉人微梦公司的竞争优势及商业资源，构成不正当竞争行为。

非法获取或恶意攻击亦可能涉及到的刑事案由有侵犯公民个人信息罪、非法获取计算机信息系统数据罪案、非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪。公司遇到此种情况应及时采取应急措施并报警，将己方损失尽可能降到最小。

在上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪案中，被告人张洪禹（公司法定代表人兼CEO，负责公司整体运行）、宋健（公司联席CEO，系产品负责人）、侯明强（公司CTO，系技术负责人）经共谋，于2016年至2017年间采用技术手段抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据，并由侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施，使用“tt_spider”文件实施视频数据抓取行为，造成被害单位北京字节跳动网络技术有限公司损失技术服务费人民币2万元。最终法院判决：单位上海晟品网络科技有限公司及其主要负责人犯非法获取计算机信息系统数据罪，判处单位罚金人民币二十万元；主要负责人有期徒刑九个月至一年不等，并处罚金三万至四万元不等。

4.数据存储服务提供商数据泄露

如果企业数据存储于专门的数据存储服务提供商的服务器中，数据存储服务提供商与企业本质上是合同关系。若存储于数据存储服务提供商服务器中的企业数据发生泄露，企业可以根据合同要求数据存储服务提供商承担违约责任。但若合同中明确将网络攻击者的原因作为不可抗力，发生数据泄露后，数据存储服务提供商可以部分或者全部免除责任。

[17]（2019）京0105民初57993号民事判决书。

[18]（2019）粤0104刑初1253号刑事判决书。

[19]（2019）粤0104刑初1253号刑事判决书。

[20]（2017）京0108刑初2384号刑事判决书。