"近5000萬用戶的賬戶可能遭遇入侵甚至盜用",這到底意味著什么�����?
日前����,美國社交媒體巨頭“臉書”(Facebook)又一次遭遇大規(guī)模用戶數(shù)據(jù)泄露引發(fā)各界的廣泛關(guān)注。
媒體報道顯示���,當(dāng)?shù)貢r間10月3日��,位于愛爾蘭的Facebook歐洲總部也開始對本次事件展開調(diào)查����,愛爾蘭數(shù)據(jù)保護(hù)委員會正在考慮對Facebook進(jìn)行處罰��。
試想��,如果被入侵的賬戶所有者都是英國用戶的話��,相當(dāng)于英國全體國民的個人賬戶被入侵或盜用了,這對一個國家的傷害是“致命性”���,相當(dāng)于一國全民互聯(lián)網(wǎng)“裸奔”��。
而如果被入侵的賬戶是隨機(jī)分布的話���,那么實(shí)施入侵或盜用的不法分子,基本可以據(jù)此“抽樣”統(tǒng)計和分析�,進(jìn)而獲得某一平臺全球范圍內(nèi)的用戶特征和趨勢。
當(dāng)然�,更致命的是,這些被入侵或盜用的賬戶所有者�,雖然賬戶已經(jīng)被非法入侵或盜用,但是�����,用戶可能依舊渾然不知����,這不僅意味著用戶賬戶內(nèi)的虛擬或數(shù)字資產(chǎn)安全性受到威脅��。
更重要的是���,一旦某天不法分子操控此類發(fā)布一些不當(dāng)信息�,不僅可能會引發(fā)資本市場的股價波動,甚至不排除可能會引發(fā)一個國家的騷亂�����。
而這恐怕也是歐洲嚴(yán)格個人數(shù)據(jù)立法保護(hù)的初衷所在���。
考慮到歐盟地區(qū)立法和執(zhí)法標(biāo)準(zhǔn)歷來較為嚴(yán)格����,再加上歐盟《一般數(shù)據(jù)保護(hù)條例》已經(jīng)生效����,該事件會否處罰該條例的適用也成為各方關(guān)注的焦點(diǎn)。
適用前提:平臺有違反安全政策的行為
從立法角度來看���,2018年5月25日起生效施行的《一般數(shù)據(jù)保護(hù)條例》對個人數(shù)據(jù)的搜集�、存儲�����、傳輸�����、處理以及泄露等各個環(huán)節(jié)可能出現(xiàn)的意外,以及相應(yīng)平臺公司需要擔(dān)負(fù)的責(zé)任或義務(wù)����,均作了較為明確的規(guī)定。
而對于Facebook出現(xiàn)的“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題���,是否可以適用歐盟《一般數(shù)據(jù)保護(hù)條例》���,首要判定條件是,平臺內(nèi)的用戶賬戶遭遇入侵甚至盜用是否滿足《一般數(shù)據(jù)保護(hù)條例》關(guān)于個人數(shù)據(jù)泄露的界定或定義���。
按照《一般數(shù)據(jù)保護(hù)條例》規(guī)定���,“個人數(shù)據(jù)泄露”是指由于違反安全政策而導(dǎo)致傳輸、儲存��、處理中的個人數(shù)據(jù)被意外或非法損毀�、丟失����、更改或未經(jīng)同意而被公開或訪問���。
簡單說,構(gòu)成《一般數(shù)據(jù)保護(hù)條例》意義上的“個人數(shù)據(jù)泄露”需要滿足三個條件����,其一,平臺有違反安全政策的行為����,其二,有出現(xiàn)個人數(shù)據(jù)“損毀�、丟失、更改或未經(jīng)同意而被公開或訪問”的不當(dāng)后果�,其三,出現(xiàn)這種不當(dāng)后果具有意外性或非法性�。
因此,如果Facebook能證明其平臺上出現(xiàn)的“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題�����,其采取了必要的安全防范措施或手段���,本身并無違反安全政策的不當(dāng)行為��,也就是沒有過錯���,那么�����,這種客觀上發(fā)生的“用戶個人數(shù)據(jù)泄露”問題�����,并不能直接要求平臺承擔(dān)相應(yīng)的責(zé)任����。
其他義務(wù):報告不及時需承擔(dān)相應(yīng)責(zé)任按照《一般數(shù)據(jù)保護(hù)條例》規(guī)定����,在個人數(shù)據(jù)泄露的情形中,如果可行��,平臺應(yīng)在知悉后應(yīng)當(dāng)及時(至遲在72小時內(nèi))將個人數(shù)據(jù)泄露告知有權(quán)監(jiān)管機(jī)構(gòu)�����,除非個人數(shù)據(jù)泄露對于自然人的權(quán)利與自由不太可能會帶來風(fēng)險��。對于不能在72小時以內(nèi)告知監(jiān)管機(jī)構(gòu)的情形�,應(yīng)當(dāng)提供延遲告知的原因。
簡單說����,對于各類平臺可能發(fā)生的用戶個人數(shù)據(jù)泄露問題,平臺均負(fù)有及時報告義務(wù)�����。
以Facebook遭遇的用戶個人數(shù)據(jù)泄露問題為例�,如果Facebook在知悉或發(fā)現(xiàn)用戶個人數(shù)據(jù)泄露問題后72小時內(nèi),未及時向有關(guān)監(jiān)管機(jī)構(gòu)報告或告知��,那么�����,F(xiàn)acebook也是需要承擔(dān)一定的管理不善責(zé)任�。
按照《一般數(shù)據(jù)保護(hù)條例》規(guī)定,如果Facebook未能及時向有權(quán)監(jiān)管機(jī)構(gòu)及時報告或告知個人數(shù)據(jù)泄露事件�����,可能被處以“最高1000萬歐元”或“其上一年全球總營業(yè)額2%的金額”的行政罰款���,其中�����,最終罰款金額取兩者較高的一個���。
而回到Facebook平臺上發(fā)生的“近5000萬用戶的賬戶可能遭遇入侵甚至盜用”問題��,雖然目前尚無法確認(rèn)在“賬戶被入侵或盜用”過程中�����,F(xiàn)acebook本身是否存在過錯�����,其是否應(yīng)當(dāng)就其給用戶造成的損失承擔(dān)賠償責(zé)任還有待進(jìn)一步查明����。
但是�����,如果該事件發(fā)生后��,F(xiàn)acebook報告不及時的話,也就是報告義務(wù)履行不及時的話�����,也是可能難逃被處以巨額行政罰款的可能�����。
罰款高低:需綜合考量危害�����、影響等
對于任何立法來說���,罰款本身不是目的,而是希望通過設(shè)定“警戒線”��,讓義務(wù)主體能夠提高警惕�����,加強(qiáng)技術(shù)投入����,避免不當(dāng)事件的發(fā)生�����。
以《一般數(shù)據(jù)保護(hù)條例》為例���,其本質(zhì)是為了加強(qiáng)個人數(shù)據(jù)安全保護(hù),而不是為了利用數(shù)據(jù)泄露實(shí)現(xiàn)罰款創(chuàng)收或變現(xiàn)���。
因此����,一旦包括類似谷歌�����、Facebook等平臺發(fā)生了類似個人數(shù)據(jù)泄露問題時�����,相關(guān)平臺是否需要承擔(dān)責(zé)任以及需要承擔(dān)多大的責(zé)任���,也是受多種因素影響��。
事實(shí)上�,相關(guān)平臺可能被處以罰款額的高低,取決于多方面的因素����,比如,數(shù)據(jù)泄露的規(guī)模�����、持續(xù)的時間�����、給用戶造成的損失等等�����,甚至報告的準(zhǔn)確性��、全面性及及時性��,都是需要相關(guān)監(jiān)管機(jī)構(gòu)綜合考量的�����。
除了谷歌�����、Facebook等平臺�,對于國內(nèi)的微信、阿里����、京東等眾多全球性平臺公司,其用戶來源是多元的�����,其服務(wù)范圍也是廣泛的�,很多平臺都可能因?qū)儆凇兑话銛?shù)據(jù)保護(hù)條例》說界定的“控制者”或“使用者”,而可能需要受到該法律的束縛�����。
因此�,對于類似Facebook遭遇"近5000萬用戶的賬戶可能遭遇入侵甚至盜用"問題,更多的是應(yīng)該引起各大平臺的警惕�,更多應(yīng)該是主動翻查自身的個人數(shù)據(jù)保護(hù)機(jī)制是否健全,有無漏洞或不足�����,而不是幸災(zāi)樂禍。
簡單說�,如果不能從其他平臺遭遇的數(shù)據(jù)意外事件中吸取經(jīng)驗(yàn)、總結(jié)教訓(xùn)和提高防范�����,不排除下一個遭殃的就是國內(nèi)互聯(lián)網(wǎng)平臺��,到時候可能面臨重罰的就不是美國網(wǎng)絡(luò)巨頭了��。
京公網(wǎng)安備 11010502050532號
