1、强制泄露通报, 健全响应能力 中国网安法下的网络安全事件应对要求 2 网络泄露事件日益增多。������� 根据2019年 中国独角兽CEO 调查 , 企业CEO们认为数据安全和隐私保护将会是未来一至三 年对公司最具影响力的外部因素。 虽然发生网络事件时公司可能 会选择保持沉默而不予公开, 但2017年6月1日生效的中国 网络 安全法 ( “ 网安法” ) 以法律形式对网络安全事件响应和泄露管 理提出了全面的规定, 包括制定应急预案、 采取补救措施、 向有关 主管部门报告、 告知数据主体等, 并明确未遵守监管要求所面临 的罚则。 3 中国网络安全法 全面的网络安全和 隐私保护体系 网安法对中国境内建设、 运
2、营、 维护和 使用网络的所有企业作出了广泛的管 理和技术合规要求。 这些实体被定义为 “网络运营者” , 而其中那些运营 一旦遭到破坏、 丧失功能或者数据泄露, 可能严重危 害国家安全、 国计民生、 公共利益的关键信息基础设 施的企业则被进一步界定为 “关键信息基础设施运营 者” 。 根据网安法第76条第三款, 网络运营者包括网 络的所有者、 管理者和网络服务提供者。 实践中, 任何����� 拥有基础信息技术设备或设施的企业均属于这一类。 根据网安法第31条, 国家对公共通信和信息服务、 能 源、 交通、 水利、 金融、 公共服务、 电子政务等重要行 业和领域等一旦遭到破坏、 丧失功能或者数据泄露,
3、可能严重危害国家安全、 国计民生、 公共利益的关键 信息基础设施, 在网络��������������安全等级保护制度 ( “等保” ) 的基础上, 实行重点保护。 网安法第10条要求所有的网络运营者采取技术措施 和其他必要措施, 保障网络安全、 稳定运行, 有效应 对网络安全事件, 防范网络违法犯罪活动, 维护网络 数据的完整性、 保密性和可用性。 第21条和34条分别 规定, 所有的网络运营者和关键信息基础设施运营者 的网安法合规框架中必须包含以下内容: 网络安全制 度、 IT人员的职能和责任、 防范病毒和网络攻击的技 术措施、 网络日志留存、 数据分类、 网络运营者重要数 据备份和加密等措施, 除此以外, 关键信息
4、基础设施 运营者还应设置专门安全管理机构和安全管理负责����� 人 (并对该负责人和关键岗�������位的人员进行安全背景审 查) 、 进行强制性安全培训、 设立数据恢复制度、 建立 应急响应预案并定期进行演练。 公司未有效设立和实 施强有力合规体系的, 公司及直接责任人将受到行政 处罚, 如果发生严重安全事件的, 公司及个人均可能 被追究刑事责任。 4 安全事件响应和泄露管理 制定和公布事件响应计划并进行培训演习。 该计划应包 括以下步骤: 通知主管部门和受影响的数据主体、 进行调 查、 就主管部门的跟进问询及纠正调查中发现的问题为主 管部门提供支持。 第三方风险管理 进行尽职调查、 对第三方规定隐私和安全性以
5、及保密性要 求, 降低访问组织信息资产相关的风险。 确保第三方产品 和服务经认证和认可。 信息技术安全和等保 实施等保管理和技术控制措施, 以保护网络和IT系统。 等保准备, 包括定级、 备案、 自我评估, 认证评估和资质 获取。 战略和治理 确定总体计划、 策略、 治理结构、 角色和职责, 旨在协调、 设计、 实施和保持与网安法一 致的计划。 个人信息保护 建立具有规定和控制措施的隐私体系, 在数据的整个生命 周期中对个人信息实施保护 ��������。 关键信息基础�������设施保护 确定关键的信息基础架构, 落实所规定的更高安全性和 控制要求。 网络内容管理 制定Web内容的协议、 监视网站和用户平台, 识别和过
6、滤 用户访问或发布的任何不适当内容。 �������使用经许可和批准的 VPN服务 安全事件响应 和泄露管理 信息技术安全 和等保 个人信息保护网络内容管理 战略和治理 数据本地化和 跨境数据传输 第三方 风险管理 关键信息 基础设施保护 数据本地化和跨境数据传输 对个人和重要数据建立数据清单、 进行本地化和/或跨境 数据传输安全评估。 中华人民共和国网络安全法 网安法要求可划分为八个领域, 见下表: 5 网络安全事件响应 和泄露管理的核心 要求 在 “安全事件响应和泄露管理” 领域中, 除了大量综合 性要求外, 网络运营者还应在发生泄露事件时通知有 关部门, 并且如果发生个人信息泄漏或被盗, 网络��������运 营者
7、还必须通知受影响数据主体。 根据网安法第64 条, 违反规定的企业最高可被处以一百万元的罚款, 直接责任人最高可被处以十万元的罚款。 公司和主要 责任人还可能被追究刑事责任,������ 其中主要责任人可能 面临监禁和/或将来不得担任企业高管和从事专业岗 位的风险。 因此公司必须制定并实施完善的安全事件响应计划, 确保能够满足这些合规要求。 主要要求概述如下: 网络安全事件应急预案:制定网络安全事件应 急预案, 定期演练。在发生危害网络安全的事件 时, 立即启动应急预案, 抑制威胁, 尽量减少破坏 和影响 (第25条) ; 泄露告知/报告: 发生泄露时, 应当及时告知受影 响的数据主体及向有关主管部门报告
8、,������ 并提供必要 的协助和支持 (第42条) ; 调查和补救: 进行取������证调查, 查明泄露的源头和性 质, 并及时采取补救措施纠正一切安全问题。 如果 主管部门进行独立调查的, 向其提供必要协助和支 持 (第55条) 。 6 6 6 配合中国国家互联网信息办公室及其他政府部门落实 国家网络安全事件应急预案 预防监测响应恢复 采取技术措施来防范计算机病毒 和危害网络安全的行为, 例如网 络攻击和网络入侵 (#21) 重要系统和数据加密备份 (#21, #34) 及时修复网络安全漏洞和缺陷 (#22) 制定安全事故应急预案, 及时处 理安全风险 (#25, #34) 定期组织应急演练, 并配合主管 部
9、门协调执行演练 (#34, #39) 采取技术措施监视和记录网络运 行状态和网络安全事件, 并保留 相关网络日志不少于六个月 (#21) 每年至少对其网络进行一次安全 性测试, 对网络的安全性及潜在 风险进行评估, 并向相关部门报 告结果和制定改进措施 (#38) 建立和宣传投诉/举报机制, 并及 时处理举报 (#�����49) 发现安全事件后及时执行安全事 件应急预案 (#25) 向相关主管部门报告安全事件 (#25) 及时告知个人信息遭到泄露的用户 (#42) 进行网络安全事件�����调查, 采取措 施消除安全事件的风险和蔓延, 及时发布公共建议/警告 (#55) 及时采取补救措施, 包括恢复备 份和解决
10、所有安全问题 (#25) 在政府部门依法维护国家安全或 侦查犯罪的活动中, 向其提供技 术支持和协助 (#28) 根据公司是网络运营者还是关键信 息基础设施运营者的不同, 违反安全 事件响应规定可能会导致公司受到 最高100,000元或100万元人民币的 罚款, 以及个人受到最高50,000元或 100,000元的罚款。 通常, 违反规定的 公司也会收到整改指令和警告。在某 些情况下, 甚至可能会承担刑事责任。 (#59, #64) # 网安法文件编号 # 关键信息基础设施运营商 网安法合规需要机制良好的网络安全事件应急流程 7������� 7 1. 无处不在的技术、 更加智能的系统和大数据的趋势导 致工
11、业、 商业和人们的日常生活越来越多地采用和依 赖技术系统。 越来越倚重人工智能即是这一趋势的 一个体现: 根据第22届年度全球CEO调 查 , 中国和亚太地区60的CEO认为�������人工智能取代 的工作岗位将会大于其所创造的工作岗位, 而只有2% 的CEO相信情况相反。 对技术的日益依赖与逐步上升的网络威胁密切相 关: 根据2020年保险及相关调查 , 网络 保险市场的年保费将从2018年的50亿美元增长至 2020年的至少75亿美元。 网络保险成本的增加不仅 表明对网络攻击和事件的关注日益增加, 而且还需要 更强大的安全事件响应能力, 以降低影响并确保快速 恢复。 数字革命和不断升级 的威胁 8 8
12、 毫无疑问, 我们可能会遇到 更多前所未有的安全事件和 新的威胁。 9 处理��������中国境内网络 安全事件的主要措施 虽然企业在预防措施上有大量投入, 从而在第一时间 避免安全事件的发生, 但零安全事件的想法是不现实 的。 因此, 企业必须做好充分准备应对安全事件, 并由 高级管理层和跨职能团队参与, 同时应确保流程和方 法符合法规相关要求。 考虑到中国的法律法规环境, 如果发现网络攻击时, 正确执行以下措施将会最大限度地帮助减少第一方和 第三方损失, 并防止发生其他进一步损害。 10 1010 IT取证调查 旨在揭示根本原因、时间、现有和潜在的损 害, 以及谁对网络攻击负责。 值得注意的是, 与其
13、他调查一样, 企业在进行网络调查时不能违�����反法 律法规也不能侵犯个人的合法权益。 因此, “IT 取证”调查可用于确定哪些设备受到入侵或 感染, 使取证专家可以追溯攻击者所采用的步 骤, 从而明确攻击是如何发生的。 这对于防止以 后再次发生类似性质的攻击至关重要。 保留安全事件和损害的证据 与相关部门和数据主体沟通以及保险索赔或受 影响方可要求损害赔偿的其他途径都需要保留 数字证据。 建议企业在考虑证据保留的同时, 还 要记住消除网络攻击的负面影响的必要性。 例 如, 在线泄露非法内容 (例如色情或恐怖主义相 关信息) 的情况下, 应保留网页屏幕截图和网络 日志以方便调查, 但应及时删除������在线内容
14、本身以 减轻其负面影响。 获取各种设备 (服务器、 PC和 手机) 的取证图像这一措施通常是有助于深入技 术分��������析, 可以发现与外部非法通信痕迹或试图擅 自从企业经营场所删除专有数据 (例如知识产 权) 的痕迹。 了解证据公证, 尤其是对数字证据 的公证, 对于在中国进行的法律程序也是至关 重要的。 强烈建议任何希望进行证据收集的公 司与其法律团队合作, 确定是否需要公证, 因为 与在对数据进行分析并最终确定敏感信息之后 再进行公证相比, 首次收集证据时公证的数字证 据最有价值。 通知主管部门及数据主体 许多网络攻击后随之而来的是病毒传播、 数据 泄露以及将非法获取的信息散播给潜在的黑市 买家。
15、 因此, 通知有关监管机构和数据主体将 有助于在国家、 地区和个人层面遏制事件。 特别 建议在给数据主体的告知函中写明损害控制和 预防措施。 如果数据已经被盗或存在被盗的风 险, 黑客在黑市上出售被盗信息之前通常会等待 一段时间, 有时甚至几个月。 但可以通过一些方 法在黑市网站上建立扫描 (通常只能通过暗网 访问) , 这样公司就会知道其数据是否正在被出 售。 采取此类措施是朝正确方向迈出的一步, 从 而向监管机构表明数据泄露正在得到应有的重 视, 并且公司在切实努力减轻损害。 111111 1. 回��������应政府调查和/或 损害赔偿诉讼 网络攻击可能会导致政府部门施加行政或刑事 责任, 或者第三方
1�����6、公司或数据主体要求承担民 事责任。 正确应对这些潜在风险对于解决第一 方损害或业务连续性问题同样重要。 回应媒体曝光 即使是最大的跨国公司也可能难以应对因严��������重 数据泄露而造成的公共影响。 确定一家专门管 理网络安全事件的公关公司是重建消费者信任 并最大程度降低业务影响的关键因素。 合格的 安全事件应对和法律团队还应具备经验, 能够 确定应向公关公司提供其哪些需要的适当信 息, 用以处理媒体的关注和负面舆论。 相关情况下通知保险公司 如果网络安全事件发生时存在有效的网络 保单, 强烈建议受攻击对象尽快通知保险公 司, 明确是否任何 (或全部) 损害都在保单范围 之内。 保险公司通常与律师事务所、
17、 IT取证和公 关公司合作, 组成一个紧密合作的团队, 一经发 现攻击即可迅速采取行动, 保单通常情况下会赔 偿服务提供商费用。 寻求赔偿 向对网络攻击后果负全责或部分责任的第三方和 员工追责将有助于尽量减少金钱损失并防止今 后发生不合规行为。 提到网络威胁, 其所造成的 财务影响不可低估: 最新的 全球危机 调查 发现, 这些攻击造成的财务损失平均超过 100万美元, 全部网络安����全事件中有1%超过1亿美 元。 网络泄露造成的财务影响, 包括失去消费者信 任、 罚款和专业服务费损失, 是难以衡量的, 既持 久又难以缓解。 虽然网络保险可以帮助减轻网络攻 击的财务负担, 但与律师合作确定是否以及
18、如何寻 求赔偿对减少对公司底线影响也是至关重要。 安全事件结束后的回顾 和经验教训 回顾网络安全事件以及为解决安全事件所采取 的措施, ������总结经验教训, 使企业有机会改进体 系、 流程、 工具和培训, 防止再次发生并提高响 应能力。 在实践中, 补救措施不应仅仅局限于实 施更多的安全解决方案和/或控制措施。 员工培 训是网络安全的重要组成部分, 因为许多网络事 件始于员工的粗心行为。 实际上, 2019 年 全球危机调查 发现, 全部网络攻击中有超 过三分之二来自网络钓鱼电子邮件 (或来自通过 网络钓鱼电子邮件传输的恶意软件) , 可以通过 良好的员工培训来防止此类攻击。 随时向主管部门报告最新
19、情况 最后, 必须让监管机构了解补救措施, 从而证明 企业认真落实监管要求, 并且真实承诺降低未 来发生网络安全事件的风险。 监管机构通常在 发生严重网络攻击后发布一些建议, 我们建议 公司执行监管机构的这些建议。 公司在安全事件 发生期间及结束后, 还应与这些机构保持定期 沟通。 网络安全事件后向监管机构进行的����报告与 中国社会信用体系的发展尤其相关, 发生严重 不当行为或被列入黑名单的公司将受到各种政 府机构的公开披露和处罚。 对于在中国从事经营活动的任何公司而言, 遵守 网安法并非简单的承诺。 制定和实施由网络安 全专业人士支持的强大的网络安全计划, 为处 理网络安全事件做好准备, 对于应
20、对不断发展 的网络威胁形势至关重要。 发生网络泄露事件 时, IT取证专家、 律师事务所和公关��������公司等专业 第三方虽然能够提供必要的专业知识, 改善网 络攻击所造成的后果, 但企业必须明白, 网络安 全和及时响应网络安全事件最终的责任是由他 们自己肩负的。 12 1212 1. 联系我们 Ramesh Moosa 合伙人 网络安全、 隐私和取证 +86 (21) 2323 8688 中国程伟宾律师事务所 瑞柏律师事务所 Martyn Huckerby 亚太地区竞争法负责人 注册外国律师 程伟宾律师事务所 +852 2833 4918 martyn.huckerby 潘晓鸥 总监 网络安全和隐私
21、+86 (21) 2323 2693 Steve Curnan 高级经理 网络安全、 隐私和取证 +86 (21�������) 2323 8003 薛颖 监管合规高级经理 瑞栢律师事务所 +8�������6 (10) 8540 4602 131313 14 本刊物中的信息仅供一般参考之用, 不可视为全面完整的意见, 也不构成由、 程伟宾律师事务所或瑞栢律师事务所提供 的专业建议。 、 程伟宾律师事务所或瑞栢律师事务所没有责任就法律及实践操作的改变进行资料更新。 相关法律的适 用和影响可能因个案所涉的具体事实而有所不同。 在有所举措前, 请确保向、 程伟宾律师事务所或瑞栢律师事务所的 顾问或律师获取针对您具体情况的专业
22、意见。 本刊物中的内容是根据2020年3月有效的法律及可获得的资料编制而成。 2020 。 版权所有, 未经允许不得分发。 系指网络中国成员机构, 有时也指网络。 详情请进入 每家成员机构各自独立, 并不就其他成员机构的作为或不作为负责。 2020 程伟宾律师事务所。 版权所有。 程伟宾律师事务所为一所独立的香港律师事务所。 该律所与驻新加坡的法律国 际私人有限公司 (持牌外国法律律师事务所) 有合作联系�����。 程伟宾律师事务所或法律国际私人有�����限公司对对方各自的行 为或不作为没有任何控制权、 并非作为对方的代理人、 亦不会承担任何责任。 2020 瑞栢律师事务所。 版权所有。 瑞栢律师事务所是一家独立律师事务所, 亦为全球网络的成员机构。 PMS 01007
sgpjbg002
工作日 8:30 - 17:30
报告分类
