史上最大数据泄露案发生后,澳大利亚拟修订本国隐私法
21世纪经济报道 21财经APP
2022-10-01

南方财经全媒体 记者吴立洋 实习生仇双 北京报道

9月22日,澳大利亚第二大电信公司Optus称公司遭到网络攻击并发生数据泄露事件,涉及980万Optus客户,接近澳大利亚人口的40%,是澳大利亚历史上最大的数据泄露事件之一。

案件发生后,多名澳大利亚政府官员在不同场合强调将加强个人信息保护力度,并推动新一版《隐私法》修订,要求发生数据泄露的公司与银行分享可能受到影响的用户信息从而防止可能的金融诈骗。

多位专家学者在接受南方财经全媒体记者采访时指出,目前很多国家都在尝试通过提高信息的披露比例和披露时效,增强应对各种安全风险的处置能力,但在实施过程中,也需要注意对主体、权限、对象等的限制条件,以及在涉及数据跨境时潜在的数据主权冲突。

大规模数据泄露倒逼立法改革

据官方披露,本次泄露的数据涉及用户的姓名、出生日期、地址、联系方式、驾驶执照、护照、身份证号码等等,除Optus本公司的数据外,其曾经的子公司维珍移动和Gomo的用户数据也遭到泄露。9月28日晚,Optus确认1.49万张尚未过期和2.2万张已经过期的澳大利亚公费医疗系统Medicare(国民健保)卡信息也被黑客盗取。

澳大利亚律政部长就相关问题接受媒体采访时表示,Optus数据泄露事件中近1000万澳洲人的敏感信息被盗,《隐私法》的紧急改革可能会在年底前提交议会。

他进一步表示,国家的隐私法必须“适合数字时代的目的”,政府“考虑对《隐私法》进行更紧迫的改革……例如增强现有的保护个人信息有关的保障措施,加强安全准则,加强可通报的数据泄露计划。”

针对数据泄露可能造成的欺诈与身份盗窃问题,澳大利亚政府正与金融机构合作,监控受害者银行账户,并计划对网络攻击的披露要求展开更严格的审查。

当地时间周一,澳大利亚总理安东尼·阿尔巴尼斯表示,政府已将全面修订《隐私法》提上日程,以要求任何遭受数据泄露的公司跟银行分享可能受到影响的客户的详细信息从而来减少欺诈。但根据目前的澳大利亚隐私立法,公司不得跟第三方分享有关客户的这些细节。

“仅就数据泄露通知这一场景而言,目前各国较为普遍的做法包括要求告知个人信息主体数据泄露的情况;和要求告知相关的政府数据保护监管机构数据泄露的情况。”世辉律师事务所合伙人王新锐告诉记者,在部分国家和地区的法律中,也会要求数据处理者有义务向数据控制者告知数据泄露的情况。

他进一步指出,本次澳大利亚政府提出修订《隐私法》的一个重要原因,是Optus数据泄露事件造成了一项关键风险,黑客可能会使用被泄露的个人信息,来向银行提交欺诈性申请,或者使用相关信息来欺诈消费者:“因此这一项举措可以有效管控相关风险和金融欺诈行为的发生。”

北京师范大学互联网发展研究院院长助理、博士生导师吴沈括则表示,各国关于向第三方共享信息的普遍做法是要有严格的条件限制:“以共享为例外,以不共享为原则是是普遍的做法。

但近年来,从提高数据流转利用效率和应对日益严峻的数据安全形势两个角度处处罚,对于不共享原则各国开始提出各类例外情形。吴沈括表示,这一方面是为了提升数据资源的复用率,另一方面也可以推动威胁情报信息的共享,提高网络安全与数据安全水平。

具体到本次澳大利亚拟进行立法修改的方向,王新锐表示,此类修订的落实依赖于银行和数据泄露公司之间的合作和沟通渠道:“若双方沟通渠道顺畅,且银行能够在接收到信息后采取有效的针对性举措,则能够在一定程度上缓解金融欺诈风险。”

国际参考意义获关注

自1988年澳大利亚《隐私保护法(Privacy Act)》颁布以来,其隐私保护法制体系就经历过多轮修订与完善。

2014年,澳大利亚引入隐私保护原则,旨在规范政府机构及公司或其他企业对个人信息的采集和处理;2018年又引入了个人数据泄露申报计划,规定了各职能实体在应对数据泄露事件方面的具体要求。

但当前澳大利亚的法律体系仍然难以有效保障公民的信息安全权益,澳内政部长兼网络安全部长奥尼尔在接受媒体采访时指出,类似事件发生在其他国家,肇事公司可能面临数亿美元的处罚,而澳大利亚的罚款上限仅为200万澳元。律政部长德雷福斯也提到,新修订的《隐私法》将使公司在违规后受到更为严厉的处罚,这样公司董事会才不会将罚款视为“经营成本”而不予理会。

早在2021年10月,澳大利亚官方公布了《在线隐私法案》的立法草案,该草案引入了“在线隐私守则”(OP code),扩大了1988年《隐私法》的域外管辖范围,并针对社交媒体、数字代理服务平台引入了一套更为明确具体的规则。而本次拟对《隐私法》做出的关于公司发生数据泄露后需和银行等共享信息等措施,也是澳大利亚政府进行立法探索的方向之一。

“数据泄露后对个人权益最常见的侵害就是金融诈骗,因此澳大利亚隐私法的这项修改能够在一定程度上让银行在数据泄露后采取针对性的预防措施,从而保障个人的权益。”王新锐表示,从这个意义上来说,新的修订内容对其他国家立法存在一定参考意义。

但他也指出,能否学习借鉴需要考虑各国不同的金融状况,例如中国现有的银行业金融机构达到4604家,如果要求数据泄露方告知各银行数据泄露具体的客户信息是不现实的:“较合理的措施是让数据泄露方告知银保监会等监管机构,再由监管机构统一告知受其管辖的金融单位。

除信息共享层面的前沿探索外,关于当涉及海外数据和个人信息的企业如果发生数据泄露时,其数据是否需提供给银行等机构也是本次澳大利亚《隐私法》备受瞩目的原因之一。吴沈括认为,目前涉及外国数据的情形下,难免需要交叉使用数据泄露、数据披露和数据跨境的相关规定,在实行过程中可能带来本国法与外国法的潜在管辖冲突,涉及不同国家间的管辖礼让。

实际上,境外数据跨境后在澳大利亚境内的再转移增加了一种新的法定情形,且其再转移的对象不是一个政府部门,而可能是多个商业性银行机构,澳大利亚境外的数据控制者可能会对澳大利亚相关银行的数据保护能力存在质疑。王新锐指出,要解决上述问题,一方面需要明确数据泄露通知的颗粒度;二是在立法层面排除该项通知义务对其他国家存储于澳大利亚数据的适用:“特别是在相关个人不是澳大利亚公民的情况下,通知澳大利亚本地银行对个人的助益并不大。”

吴沈括表示,目前包括澳大利亚在内的大部分国家立法中,都还没有对相关问题的直接回答,相信随着类似制度的实际落地与操作,必然会在实践中带来新的问题,也会成为后续制度完善的一个新的切入点。

(作者:吴立洋,实习生仇双 编辑:蔡姝越)