通过综合分析2020年公开报道的80起大规模数据泄露事件,本报告发现,2020年全球数据泄露事件的数量和泄露规模较2019年均大幅攀升,数据安全形势更加严峻,主要原因是,个人信息被大规模收集并用于全球疫情防控,其利用与保护的制衡关系被严重破坏。报告重点分析国内外主要数据泄露事件,并总结欧盟、美国、中国数据保护制度的创新进展,批判性反思数据保护制度的不足之处并预测未来发展方向:(1)出台配套制度满足不同场景的数据保护需求,推动数据保护法规的落地;(2)重点加强生物识别信息的保护以及移动互联网应用的治理;(3)现行法律、临时政策及紧急措施协同实施数据治理;(4)寻求突发公共卫生事件中个人数据的利用与保护之平衡;(5)特殊时期个人数据紧急收集措施的退出机制和事后处置方案尚待完善。

一、2020年数据泄露现状研究

中美两国数据安全公司发布的报告显示,2020年是有记录以来信息泄露最严重的一年,全球数据泄露总量超360亿条,较2019年剧增332%(见图1),涉及人数超21.2亿人,其中,北美、欧洲和亚太地区信息泄露事件约占全球信息泄露事件的90%。尽管全球信息泄露规模扩大,相关事件的媒体报道却明显减少。截至2020年9月30日,媒体公开报道的数据泄露事件数量比2019年减少约51%,比2018年减少25%。这或许是因为,在全球暴发新冠肺炎疫情的背景下,媒体将更多资源集中于疫情防控报道上,在一定程度上减少了对信息泄露事件的关注。

(一)2020年国外数据泄露状况

医疗保健、教育、零售、信息产业、公共部门、金融等行业是数据安全及泄露事件的高发行业;70%的数据泄露事件由外部人员引起而非内部因素导致,其中,一半以上是由犯罪团伙组织实施;45%的数据泄露事件源于黑客攻击和入侵;86%的泄露行为是出于财务动机;72%的入侵对象涉及大型企业。可见,2020年数据泄露规模不断扩大,泄露总量急剧攀升,全球的数据安全形势仍十分严峻。

本文梳理了2020年国外公开报道的80起大规模数据泄露事件,并总结出2020年国外十个规模最大的数据泄露案例(见表1)。

十大数据泄露事件主要发生在美国,而且多起事件导致高度敏感的个人数据被大规模泄露。2020年5月,成人直播网站CAM4因服务器配置错误,导致超过7TB的会员个人身份信息被泄露,包括高达108.8亿条个人数据记录,高度敏感信息如性取向、用户私人对话内容等均遭泄露。无独有偶,美国秘密共享应用程序Whisper也泄露了9亿条用户的种族、性取向等敏感信息。近几年,政府部门的数据泄露事件也多次被曝光。2020年巴西卫生部高度敏感的官方数据库泄露了2.43亿公民的各类个人信息,任何人在浏览器中按F12键都可以轻易访问或获取卫生部官方数据库的公开登录信息。

2020年，数据泄露涉及的领域主要集中于医疗健康(12.5%)、零售(10%)、信息技术(10%)等(见图2),大规模数据泄露涉及的领域较2019年有所增加,化妆品、游戏、餐饮外卖等领域均发生过大规模泄露事件。另外,手机App发生数据泄露事件的占比是2019年的两倍之多。从泄露原因看,黑客攻击(53.75%)和安全性差(38.75%)占主导(见图3)。许多企业数据保护意识薄弱,在数据收集、处理、控制过程中未采取严格的保障措施,安全性差的问题悬而未决,这为黑客入侵提供了可乘之机。

从数据类型来看,个人姓名为最常见的泄露数据类型,约占44%,其次是电子邮件(42.5%)、电话号码(25%)、地址(23.75%)、密码(20%)。除上述类型外,部分事件还涉及医疗信息、性取向等高度敏感的个人数据。

此外,同一实体多次发生数据泄露事件的现象凸显,如万豪酒店于2018年11月泄露5亿条信用卡信息、邮寄地址以及护照号码等个人信息,2020年再度泄露多达520万条类似信息。不到两年时间,万豪酒店因信息泄露受重罚后重蹈覆辙,再度发生大规模数据泄露事件,引人深思。

(二)2020年国内数据泄露状况

国际数据公司(International Data Company, IDC)预测,到2025年,中国将会成为全球最大的数据市场,约占全球数据圈的27.8%。中国个人数据保护与数据安全治理面临挑战。

本报告收集到十余例国内数据泄露事件,总结出2020年国内十件规模最大的数据泄露案例(见表2)。2020年国内的数据泄露状况总体呈现以下特征。

1.规模:公开披露的大规模数据泄露事件同比减少

与2019年相比,2020年国内公开披露的大规模数据泄露事件明显减少,主要原因如下。

其一,国内大多数媒体将注意力集中于新冠肺炎疫情报道,导致对数据泄露事件的关注度下降,部分数据泄露事件未能及时被披露,也未曾进入公众视野,成为公共议题。

其二,个人信息保护执法行动有效遏制了信息泄露事件的发生。2020年,公安部深入推进“净网2020”专项活动,截至12月20日,全国共侦办侵犯公民个人信息的刑事案件3100余起,抓获犯罪嫌疑人9700余名,严厉打击侵犯公民个人信息的违法犯罪行为,极大地压缩了不法分子的数据泄露与隐私侵权空间。

其三,相关法律法规的制定与完善为个人信息保护提供了新的制度保障。2020年5月,十三届全国人大三次会议表决通过《中华人民共和国民法典》,其中第六编“人格权”第四章“隐私权和个人信息保护”规定,处理个人信息应当以遵守相关法律规定或取得权利人知情同意为前提,在处理个人信息时应当遵循“合法”“正当”等原则。2020年10月,国家标准《个人信息安全规范》正式实施。《个人信息保护法(草案)》也首次提请全国人大常委会审议。

2.诱因:内部人员操作成为信息泄露的主要原因

案例分析发现,内部人员(行话称“内鬼”)成为我国2020年实施侵犯公民个人信息犯罪行为的主体。银行、医疗健康、物流快递、教育等行业因积累大量个人信息而成为“内鬼”侵扰的“重灾区”。“内鬼”窃取个人信息的主要原因是经济动机和信息易得性。许多企业在信息安全管控时忽略了内部人员这一因素,在个人信息存储等环节未采取加密等保护措施。

3.类型:医疗健康信息成泄露信息主要类型

研究人员对汽车、保险、医疗保健和金融等七个行业的调查发现,医疗行业受到的攻击比其他任何行业都多,平均每个医疗公司有13个数据库被泄露,远高于其他行业。《2020年数据泄露成本报告》显示,医疗保健行业仍是数据泄露平均成本最高的行业,高达713万美元,与2019年相比,增幅超过10%。

二、国外数据保护制度总体分析

本报告重点梳理了欧美相关的法律法规和政策文件(见表3),发现国外数据保护制度呈现以下主要特征：

（一）欧盟出台多项GDPR配套指南以满足多场景下数据保护的需要并加强跨境数据传输保护

2020年,欧盟继续引领全球数据保护制度矩阵的建设。欧洲数据保护委员会(EDPB)陆续出台多项GDPR指南,完善配套制度建设,满足多场景下数据保护的需要,并加强跨境数据传输保护。例如,针对车联网场景下收集到的大量个人数据处理问题出台《关于在联网车辆和移动相关应用中处理个人数据的指南》,以规范联网车辆和相关移动应用使用过程中个人数据处理行为。再如,《关于通过视频设备处理个人数据的指南》旨在为通过视频设备处理个人数据时应用GDPR提供指导,切实保障个人数据安全和个人隐私权益。

配套制度的建设促进了欧盟境内个人数据自由流动,也深刻影响了其他国家或地区的数据保护立法实践。为促进数据的自由流动并保障数据安全,保证当数据进入欧洲经济区以外的第三国时,仍能获得与欧盟内部保护水平相当的“充分性认定”,EDPB出台《关于补充传输工具以确保遵守欧盟个人数据保护水平的措施的建议》,强调欧盟对数据的保护措施应当随数据的转移而迁移。《关于欧洲经济区和非欧洲经济区公共当局和机构之间个人数据转移的指南》为个人数据在欧洲经济区和非欧洲经济区机构之间的传输行为提供指南,阐明数据主体享有的权利,提出在此传输过程中保障数据安全的建议措施,明确转移和共享时的原则和限制。

（二）生物识别成为数据保护立法重点领域

2020年,针对生物识别服务的应用,美国国会和多个州出台相关法律,包括美国国会出台的《2020年国家生物识别信息隐私法案》、加利福尼亚州的《人脸识别法》和华盛顿州的《美国华盛顿州人脸识别服务法案》。近几年,生物识别成为热点,但相关技术的应用也引发一系列争议并带来一定风险。例如,美国一家名为“明视”的科技公司通过社交网站、视频网站等多种渠道收集了约30亿张个人照片,在未提前告知个人的情况下,私自利用公民的生物识别信息识别个体身份并建立自己的数据库,还与美国部分执法机构合作，出售人脸识别应用服务。针对这些违法行为,消费者已向伊利诺伊州法庭提起诉讼。

人脸识别技术的应用有利于提高相关部门的工作效率,降低成本,但在应用过程中呈现滥用趋势,引发复杂的数据安全问题。在未来一段时间,关于人脸识别技术在不同场景中应用的立法机制也需逐步建立并完善,以最大程度避免敏感个人数据的滥用与泄露。

(三)多项临时指南应对重大突发公共卫生事件

在新冠肺炎疫情防控这一特殊时期,各国现行法规为个人信息收集、处理提供合规基础,也为个人信息安全提供综合保障。同时,许多国家相关部门还在现有法律法规基础上出台特殊或紧急政策通知,例如,美国的《COVID-19和HIPAA:向执法部门、护理人员、其他急救人员和公共卫生当局披露信息》、欧洲数据保护委员会的《新冠病毒暴发期间处理个人数据的正式声明》等,以应对疫情防控中个人信息收集和处理的复杂情况和独特情景。

各国强调,出于维护公共利益的需求,个人应履行义务并适当让渡部分权利。多项临时指南指明信息收集应遵循的正当性、合法性等主要原则，要求在使用个人信息时应进行脱敏、匿名化处理,并严格遵守“目的限制”原则,不得用于疫情防控以外的目的。

三、国内数据保护制度创新分析

2020年,我国实现个人隐私与信息保护综合立法“零”的突破。《民法典》《个人信息保护法(草案)》《数据安全法(草案)》相继出台,这对于我国数据保护制度的建设具有里程碑式意义。面对突如其来的新冠肺炎疫情,政府部门出于疫情防控救治、监测分析、密接追踪、病毒溯源、资源调配等目的,协调互联网平台、网络运营商等信息控制者大规模收集、处理个人信息,发布多项政策通知以规范此过程中的个人信息收集处理行为。此外,政府部门继续细化App收集使用个人信息的行业规范,将其拓展至人脸信息和个人健康信息领域(见表4)。国内数据保护制度主要呈现以下特征。

(一)《个人信息保护法(草案)》和《数据安全法(草案)》出台,标志着中国进入个人信息与隐私保护综合立法新阶段

2020年作为全球数据治理的变革之年,我国的数据保护立法工作取得了重要成果,《数据安全法(草案)》《个人信息保护法(草案)》等法律相继出台,中国真正实现了个人隐私与信息保护综合立法“零”的突破。数据保护制度日臻完善,标志着我国数据治理工作迈入新阶段。

《数据安全法(草案)》提议实施数据分类分级保护,落实相关主体或组织保护数据安全的义务和责任,推动数据安全制度的建立和完善。《个人信息保护法(草案)》及《民法典》专章着力规范个人信息处理中的具体环节。其中,新颁布的《民法典》将人格权独立成编,第六章是关于隐私权和个人信息保护的内容,在一定程度上体现了国家对于个人信息保护的重视。第一千零三十五条明确指出处理个人信息时应当遵循“合法”“正当”“必要”原则且不得过度处理。《个人信息保护法(草案)》中专门规定生物识别、健康等个人敏感信息的处理规则。其中,第三章主要对个人信息跨境提供的规则做了规定,以更好地适应当前数据跨区域流动的大环境,强化域外效力。

（二）相关法律及政策通知密集出台、协同生效,旨在为突发公共卫生事件中公民个人数据的安全提供保障

各部门在疫情期间出台的各项通知、临时性规例中，阐明了个人信息收集与处理获得授权的法律依据、获得授权主体的权利以及个人应履行的义务,保障信息收集工作依法、依规、有序进行。中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》)强调,为疫情防控而收集的信息不得用于其他目的,公开披露时要做脱敏处理。针对疫情防控期间健康码的使用,国家市场监管总局出台《个人健康信息码》系列行业标准,建立健康码统一的使用标准和规范,避免此过程中出现个人数据滥用等问题。

针对可能出现的违法违规行为,相关法律法规和文件明确法律责任以切实保障疫情防控期间个人信息安全。《个人信息保护法(草案)》第七章、《数据安全法(草案)》第六章第四十八条明确规定违法行为应当面临的行政处罚及侵害个人信息权益的民事赔偿责任。《通知》也特别强调将依法处置个人信息处理中的违法行为。

(三)移动互联网应用数据保护治理趋向场景化和标准化

我国移动互联网应用数据保护治理也呈现场景化和标准化趋势。针对App违规收集个人信息,强制、频繁、过度索取权限,欺骗误导用户提供个人信息等问题,工业和信息化部依据《网络安全法》《电信条例》等法规,组织第三方检测机构对不同场景中手机应用软件进行审查,督促存在问题的企业进行整改,仅2020年就发布七批存在问题的软件名单。

2020年,全国信息安全标准化技术委员会发布《网络安全标准实践指南———移动互联网应用程序(App)个人信息保护常见问题及处置指南》《网络安全标准实践指南———移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等国家标准,分别针对问题处置和安全防范制定推荐性标准。工业和信息化部发布《App收集使用个人信息最小必要评估规范:人脸信息》,指明当前App在收集使用个人信息时存在的主要问题或违法行为,并提供专业建议,为运营者提供参考的同时规范App收集处理个人信息的行为。

四、2020年个人数据保护的制度反思

2020年数据保护制度的突出变化表现在:(1)加强生物识别领域数据保护和立法,车联网等具体场景下数据保护受到重视,移动互联网应用治理趋向标准化和具体化;(2)各国为疫情防控目的普遍加强对个人数据的收集和利用,并在现行法律基础上出台多项关于个人数据收集与防护的临时政策;(3)临时制度落实了常态化疫情防控要求,具有一定的“适应性”,但“简单”而“离散”的特征突出。因此,反思2020年数据保护制度,为兼顾公共利益和个人数据安全,确保制度的“适应性”、“复杂性”和“凝聚力”,当前数据保护制度建设有以下几个着力点。

(一)出台GDPR配套制度,满足不同场景数据保护需求,完善现行法律框架,推动数据保护制度的落地

面对数据处理和传输过程中不断出现的新场景,现有的法律及配套制度虽能提供一定指导但针对性不强,因此需要针对不同场景的实际情况出台相应指南。2020年,GDPR配套指南的建设就有效满足了车联网、视频设备使用等场景下的数据保护需要,为其他国家和地区个人数据保护制度建设提供借鉴。

虽然多国在2020年出台或修订了相关法规以完善现行个人信息保护框架,但法规从出台到落地往往需要一段时间,在突发公共卫生事件期间的个人信息处理上,更多地受到此前已落地的法律法规和临时性通知政策的规制。因此,未来一段时间应加快推进相关法规的实施和执行,促进个人信息保护制度的落地。

(二)重点加强生物识别信息的保护以及移动互联网应用的治理

未来,随着生物识别技术在多场景中的应用落地,各国亟须完善相关法律,以保障公民的个人数据安全,避免相关数据的滥用。2020年,美国国会及各州密集出台法规,体现了对人脸识别领域数据保护的重视。我国新出台的《个人信息保护法(草案)》第二十七条也规定,采集人脸识别信息只可用于维护公共安全。

未来,进一步加强移动互联网应用的治理,规范运营者数据收集行为,保护用户隐私权益,将是个人数据保护工作的重中之重。工信部发布的《App收集使用个人信息最小必要评估规范:人脸信息》规范App收集人脸信息等行为,明确要求相关主体在处理数据的过程中必须遵守“最小必要”等原则。

(三)现行法律、临时政策及紧急措施协同实施数据治理

为高效应对突发公共卫生事件,尤其是全球大流行的新冠肺炎疫情,现行法律法规和紧急措施必须相互配合。针对疫情期间的各种特殊情况,多国相关部门积极出台相关指南和通知,包含对个人数据保护的针对性指导,体现了现行法律框架的灵活性。

首先,现行法律框架中的相关规定为个人信息保护提供了基本依据。例如,欧盟的GDPR、中国的《中华人民共和国传染病防治法》以及美国的《美国残疾人法》和《康复法案》等,在实践过程中依然执行个人数据保护的相关规定,构建起保护个人数据的基本框架。

其次,多国还在已有法律框架的基础上出台临时通知和保障措施,在利用个人信息的同时对其加强保护。例如,欧洲数据保护委员会出台《新冠病毒暴发期间处理个人数据的正式声明》,英国卫生和社会福利部发布《大流行中数据的力量》,深入具体场景规定个人数据处理的原则,以及数据存储和处理的安全措施,为疫情期间个人信息安全筑起堡垒。

(四)寻求突发公共卫生事件中个人数据的利用与保护之平衡

个人数据利用与保护的平衡,以实现个人利益与公共利益最大化,是各国数据保护立法时的重要考量,这也极大地考验了各国数据治理的能力与智慧。数据保护制度的不完善和保护措施不到位,极易导致数据的泄露和隐私被过度侵害。同时,过度强调数据的保护有时也会降低相关部门的工作效率。

疫情期间,欧盟委员会发布声明称现行法律并不会阻碍疫情防控措施。美国卫生与公共服务部规定,紧急情况下可以豁免《健康保险流通与责任法案》的隐私规则。这些声明或规定的目的均是寻求个人隐私保护与公共利益的平衡。总体而言,欧盟对于个人信息处理的规定十分严格,对敏感信息的使用更是加以严格限制,在一定程度上影响了流调工作的效率。

(五)特殊时期个人数据紧急收集措施的退出机制和事后处置方案尚待完善

为应对突发公共卫生事件,绝大多数国家出台的紧急规定只针对目前疫情防控过程中个人数据的采集、使用及披露等环节,对于疫情结束后多部门收集的海量个人数据如何处理,临时制度的退出机制如何建立等问题,却未做明确规定。部分国家或地区的相关实践可为我们提供一定的参考。例如,英国卫生和社会福利部针对疫情期间收集的个人信息事后处理问题专门发布通知,当新冠肺炎疫情减弱或者得到控制时,相关的数据库将会被关闭、停止数据处理,或将数据销毁或返还给英格兰国家医疗服务系统和医疗服务提升与发展中心。

本文为缩写版，引文及注释从略，详情请参阅原文。

引用参考：王敏 刘鑫. 2020年数据保护制度研究[C]. //单波.传播创新研究, 北京: 社会科学文献出版社, 2021:41-64.

作者简介：王敏,武汉大学媒体发展研究中心研究员,武汉大学新闻与传播学院副教授;刘鑫,武汉大学新闻与传播学院硕士研究生。