蔚来事件对企业数据合规的启示

蔚来事件始末

2022年12月20日，蔚来公司表示在2022年12月11日收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索约225万美元的等额比特币。

注：图片来源网络

针对此次事件，蔚来公司发布了《关于数据安全事件的声明》，对此次事件给用户造成的影响深表歉意，并承诺因本次事件给用户造成的损失承担责任。声明中还提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。同时，蔚来表示，公司将持续协同相关政府部门深入调查此事件，并采取必要措施控制潜在损失，依法坚决打击相关的数据窃取、买卖行为。

注：图片来源网络

数据泄露是常见的数据安全事件，除蔚来外，很多企业都受到过数据泄露的损害，其中不乏Meta（前身Facebook）、宜佳、三星等这样的国际企业，如宜佳加拿大公司9.5万名客户个人信息泄露事件、Meta5.3亿用户数据泄露事件、三星数据被黑客窃取事件等等。

数据泄露不仅会给企业带来直接的经济及品牌形象损失，也可能面临严厉的监管处罚，如Mate因数据泄露被欧盟处罚1700万欧元，英国航空公司因泄露60万乘客个人信息被处罚2.04亿欧元，万豪酒店因数据泄露被处罚1.1亿欧元等等案件。同时，数据泄露的企业也可能面临着民事赔偿责任，如雅虎曾因数据泄露向2亿用户支付5000万美元的赔偿金。根据《数据安全法》、《个人信息保护法》以及《网络安全法》（征求意见稿）中有关法律责任的规定，企业发生数据泄露将面临停业整顿、吊销执照、最高五千万元或上一年度营业额5%的罚款等法律责任，相关责任人也将承担罚款、禁止从事同类职务、公示等法律责任。因此，企业应注重数据合规建设，避免数据安全事件的发生，保障企业行稳致远。本文在数据合规建设项目经验的基础上，总结出企业数据合规建设的五大路径。

企业数据合规建设路径

路径一：主动进行数据合规评估检查

《数据安全法》第三十条以及《个人信息保护法》第五十四条、第五十五条均对数据处理者规定了进行合规检查评估的义务。而进行数据合规评估检查不仅是企业履行法律要求的义务，也是企业发现数据合规潜在风险的重要契机，是提前预防潜在风险的重要手段。

1.风险评估可以由企业内部的相关责任部门进行也可以聘请外部专业团队进行，实践中主要有以下几种形式：

（1）事前评估。企业在如下情形下应提前进行个人信息安全影响评估：
A.处理敏感个人信息；
B.利用个人信息进行自动化决策；
C.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；
D.向境外提供个人信息；
E.其他对个人权益有重大影响的个人信息处理活动。
（2）定期评估。企业根据运营情况分阶段（如每半年度或年度）进行固定风险评估的情形：
A.处理重要数据的企业应当对数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告；
B.处理非重要数据的企业定期对处理个人信息遵守法律、行政法规的情况进行合规审计，并留存审计报告。
（3）申报评估。企业在如下情形下应主动向网信部门申报数据出境安全评估，申报前先开展自评估并提交自评人报告及相关材料：
A.企业向境外提供重要数据的；
B.企业为关键信息基础设施运营者，向境外提供个人信息的；
C.企业处理个人信息达到100万人，向境外提供个人信息的；
D.自上年1月1日起累计向境处提供10万人个人信息的；
E.自上年1月1日起累计向境处提供1万人敏感个人信息的；
F.国家网信部门规定的其他需要申报数据出境安全评估的情形。

2.企业进行数据合规风险评估的流程如下：

（1）明确本次评估检查的对象以及评估目标；
（2）通过资料审核、访谈、实地检查等方式开展数据合规尽调；
（3）基于尽调情况出具评估报告，明确需要整改的差距项；
（4）确定各个差距项整改的责任部门及责任人，明确整改期限及计划，启动整改；
（5）跟进整改进度，确保整改后符合数据合规要求；
（6）对整改完毕事项进行复评，评估报告留存三年。

路径二：制定有效的数据合规管理制度

《数据安全法》第二十七条以及《个人信息保护法》第五十一条及五十八条均规定了数据处理者应建立健全数据合规制度，保障数据安全。因此，数据处理者需要建立完善的组织制度、流程以确保数据合规要求的落地。企业建设数据安全管理制度主要包括以下方面：

1.设立专门的数据合规部门以及数据合规负责人，负责数据合规要求落地；
2.在充分考虑现有管理架构、管理流程的基础上，设计整合数据合规管理组织架构，确定各业务单位的合规责任人，形成合规团队管理层、执行层、协助层，将控制措施和技术工具融入企业现有管理流程中，优化现有管理流程、保障数据安全；
3.建立数据分类分级保护制度，对数据进行分类分级管理，对不同等级的数据采取不同的安全保护措施；
4.建立数据安全事件应急响应流程，制定数据安全事件应急响应预案，明确数据安全事件发生后的处理流程以及各部门的职责；
5.对员工进行数据合规管理制度及合规要求培训、宣贯，培训及宣贯内容应根据岗位、部门的不同进行适应性调整。

注：图片来源网络

路径三：完善的数据安全事件应对措施

《个人信息保护法》第五十七条以及《网络安全法》第四十二条均规定了数据泄露后数据处理者应履行相应的通知、补救义务，在发生或可能发生数据泄露、毁损、丢失的情况时，应立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。基于此，企业应对数据安全事件可采取以下措施：

1.积极采取补救措施，减轻对个人可能造成的损害。在发生数据安全事件后，数据处理者应尽快识别事件涉及的数据类型、数据量、已采取的保护措施等情况，分析对个人可能产生的影响以及后果，修复安全漏洞，尽可能采取补救措施，减少给个人造成的损害；
2.上报监管机构，通知受影响的个人。企业应评估数据安全事件的具体情况，涉及哪些主体，对个人产生的影响等因素，确定是否需要上报监管机构或通知受影响的个人；
3.调查安全事件起因，查找潜在的安全漏洞，实施整改。发生数据安全事件后，企业应立即调查数据安全事件发生的原因，防止类似事件再次发生；
4.涉及较大规模数据泄露或影响重大的，上报企业高层决策及时对外发布公告或声明；
5.复查相关职能部门职责和制度，完善和优化响应流程和内部分工。

路径四：定期进行数据安全事件应急响应演练

为防范数据安全事件的发生，更稳妥的应对潜在的数据安全事件，企业应定期组织数据安全事件应急响应演练。根据企业制定的数据安全事件应急响应预案，模拟数据安全事件发生后各个相关部门及相关人员的应对及处置措施。对于企业来说，实施数据安全事件应急响应演练具有以下价值：
1.帮助各相关部门、相关员工熟悉自己的岗位职责，在真正的数据安全事件发生后能够更快速、准确的做出反应；
2.帮助企业总结现有应急响应流程的缺点和不足，演练完成后进行复盘沉淀，根据演练经验对现有流程进行优化，以更好的应对将来可能发生的数据安全事件，确保数据安全事件应急响应预案有效实施。

路径五：加强安全宣贯，落实投诉机制

坚持动态数据安全观，提高数据保护意识和能力，有效防止“内鬼”造成的数据泄露事件。在我们以往处理的数据泄露安全事件中，曾发现因普通员工安全意识不强以及企业内部投诉解决机制不清晰，扩大了数据泄露的损害后果，造成企业受到高额处罚。因此，企业应定期或不定期组织对高管和不同职级员工开展数据安全知识宣贯培训，及时对最新法律法规、监管处罚案例、企业内部流程等进行学习，提高全员数据安全保护意识和水平。并留存培训课件、培训签到记录、现场照片等；设立内部举报奖励机制，通过信箱、邮箱、专线等方式开展无记名（或实名）举报机制和核查、示警、处罚流程。违法情节严重的，应及时上报主管机关、公安机关或相关监管单位。


来源：卓建律师事务所 作者：李兰兰 魏安迪