企业数据泄露的平均成本。图自卡巴斯基报告
报告分析,遭受数据泄露的企业需要考虑经济和声誉损失,主动披露有助于公司扭转局面,将其朝公司有利的方向发展。如果客户第一时间知道发生了什么,很可能还会保持对品牌的信任。否则客户可能会失去对该公司的信任并决定将业务转移至其他地方。
国内监管趋严,未来落地更强
事实上,南都·隐私护卫队梳理发现,我国在2012年便对信息泄露的补救措施做出规定,目前国内关于数据泄露的通知制度正在不断完善当中。
2012年,全国人大通过的《关于加强网络信息保护的决定》中首次从法律层面对信息泄露作出规定,明确网络服务提供者等在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,但并没有规定信息泄露后的通知要求。
2017年6月正式实施的网络安全法对信息泄露通知制度进行了完善,规定网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
即将于11月1日实施的个人信息保护法作出更详细的规定,明确发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
个人信息保护法还规定,对未履行个人信息泄露通知义务的最高可以处五千万元以下或者上一年度营业额百分之五以下罚款。这将倒逼个人信息处理者履行通知义务。
多位专家对南都·隐私护卫队表示,随着法规制度要求的逐渐完善,未来数据泄露通知制度的落地执行会更强。
“这是一条必经之路。”王凯表示,对用户而言,这是企业的一个负责任的动作——出现数据泄露时通知用户,用户将有机会采取一定的防御措施,比如修改密码等。对于整个行业而言,至少会起到警示作用,让大家更加关注安全,更好地保护个人和企业的数据,对安全行业也是一个利好,未来可能会出现更好的机会和市场。
用户维权更加明确有方向
一直以来,网购退换货诈骗、快递赔损诈骗等电信诈骗层出不穷。而这些诈骗屡屡成功的背后是个人信息的泄露问题。由于信息流转链条复杂、技术能力有限等原因,个人难以判断到底是谁泄露了个人信息,往往陷入不知道找谁维权的困境。
数据泄露通知制度对用户来说有什么好处?能否解决上述问题?
文/南都个人信息保护研究中心研究员 尤一炜