數據洩露事件在哪個階段占比最多?南方财經全媒體 記者吳立洋 實習生仇雙 北京報道，現在小編就來說說關于數據洩露事件在哪個階段占比最多?下面内容希望能幫助到你，我們來一起看看吧!

數據洩露事件在哪個階段占比最多

南方财經全媒體 記者吳立洋 實習生仇雙 北京報道

9月22日，澳大利亞第二大電信公司Optus稱公司遭到網絡攻擊并發生數據洩露事件，涉及980萬Optus客戶，接近澳大利亞人口的40%，是澳大利亞曆史上最大的數據洩露事件之一。

案件發生後，多名澳大利亞政府官員在不同場合強調将加強個人信息保護力度，并推動新一版《隐私法》修訂，要求發生數據洩露的公司與銀行分享可能受到影響的用戶信息從而防止可能的金融詐騙。

多位專家學者在接受南方财經全媒體記者采訪時指出，目前很多國家都在嘗試通過提高信息的披露比例和披露時效，增強應對各種安全風險的處置能力，但在實施過程中，也需要注意對主體、權限、對象等的限制條件，以及在涉及數據跨境時潛在的數據主權沖突。

大規模數據洩露倒逼立法改革

據官方披露，本次洩露的數據涉及用戶的姓名、出生日期、地址、聯系方式、駕駛執照、護照、身份證号碼等等，除Optus本公司的數據外，其曾經的子公司維珍移動和Gomo的用戶數據也遭到洩露。9月28日晚，Optus确認1.49萬張尚未過期和2.2萬張已經過期的澳大利亞公費醫療系統Medicare（國民健保）卡信息也被黑客盜取。

澳大利亞律政部長就相關問題接受媒體采訪時表示，Optus數據洩露事件中近1000萬澳洲人的敏感信息被盜，《隐私法》的緊急改革可能會在年底前提交議會。

他進一步表示，國家的隐私法必須“适合數字時代的目的”，政府“考慮對《隐私法》進行更緊迫的改革……例如增強現有的保護個人信息有關的保障措施，加強安全準則，加強可通報的數據洩露計劃。”

針對數據洩露可能造成的欺詐與身份盜竊問題，澳大利亞政府正與金融機構合作，監控受害者銀行賬戶，并計劃對網絡攻擊的披露要求展開更嚴格的審查。

當地時間周一，澳大利亞總理安東尼·阿爾巴尼斯表示，政府已将全面修訂《隐私法》提上日程，以要求任何遭受數據洩露的公司跟銀行分享可能受到影響的客戶的詳細信息從而來減少欺詐。但根據目前的澳大利亞隐私立法，公司不得跟第三方分享有關客戶的這些細節。

“僅就數據洩露通知這一場景而言，目前各國較為普遍的做法包括要求告知個人信息主體數據洩露的情況；和要求告知相關的政府數據保護監管機構數據洩露的情況。”世輝律師事務所合夥人王新銳告訴記者，在部分國家和地區的法律中，也會要求數據處理者有義務向數據控制者告知數據洩露的情況。

他進一步指出，本次澳大利亞政府提出修訂《隐私法》的一個重要原因，是Optus數據洩露事件造成了一項關鍵風險，黑客可能會使用被洩露的個人信息，來向銀行提交欺詐性申請，或者使用相關信息來欺詐消費者：“因此這一項舉措可以有效管控相關風險和金融欺詐行為的發生。”

北京師範大學互聯網發展研究院院長助理、博士生導師吳沈括則表示，各國關于向第三方共享信息的普遍做法是要有嚴格的條件限制：“以共享為例外，以不共享為原則是是普遍的做法。”

但近年來，從提高數據流轉利用效率和應對日益嚴峻的數據安全形勢兩個角度處處罰，對于不共享原則各國開始提出各類例外情形。吳沈括表示，這一方面是為了提升數據資源的複用率，另一方面也可以推動威脅情報信息的共享，提高網絡安全與數據安全水平。

具體到本次澳大利亞拟進行立法修改的方向，王新銳表示，此類修訂的落實依賴于銀行和數據洩露公司之間的合作和溝通渠道：“若雙方溝通渠道順暢，且銀行能夠在接收到信息後采取有效的針對性舉措，則能夠在一定程度上緩解金融欺詐風險。”

國際參考意義獲關注

自1988年澳大利亞《隐私保護法（Privacy Act）》頒布以來，其隐私保護法制體系就經曆過多輪修訂與完善。

2014年，澳大利亞引入隐私保護原則，旨在規範政府機構及公司或其他企業對個人信息的采集和處理；2018年又引入了個人數據洩露申報計劃，規定了各職能實體在應對數據洩露事件方面的具體要求。

但當前澳大利亞的法律體系仍然難以有效保障公民的信息安全權益，澳内政部長兼網絡安全部長奧尼爾在接受媒體采訪時指出，類似事件發生在其他國家，肇事公司可能面臨數億美元的處罰，而澳大利亞的罰款上限僅為200萬澳元。律政部長德雷福斯也提到，新修訂的《隐私法》将使公司在違規後受到更為嚴厲的處罰，這樣公司董事會才不會将罰款視為“經營成本”而不予理會。

早在2021年10月，澳大利亞官方公布了《在線隐私法案》的立法草案，該草案引入了“在線隐私守則”（OP code）,擴大了1988年《隐私法》的域外管轄範圍，并針對社交媒體、數字代理服務平台引入了一套更為明确具體的規則。而本次拟對《隐私法》做出的關于公司發生數據洩露後需和銀行等共享信息等措施，也是澳大利亞政府進行立法探索的方向之一。

“數據洩露後對個人權益最常見的侵害就是金融詐騙，因此澳大利亞隐私法的這項修改能夠在一定程度上讓銀行在數據洩露後采取針對性的預防措施，從而保障個人的權益。”王新銳表示，從這個意義上來說，新的修訂内容對其他國家立法存在一定參考意義。

但他也指出，能否學習借鑒需要考慮各國不同的金融狀況，例如中國現有的銀行業金融機構達到4604家，如果要求數據洩露方告知各銀行數據洩露具體的客戶信息是不現實的：“較合理的措施是讓數據洩露方告知銀保監會等監管機構，再由監管機構統一告知受其管轄的金融單位。”

除信息共享層面的前沿探索外，關于當涉及海外數據和個人信息的企業如果發生數據洩露時，其數據是否需提供給銀行等機構也是本次澳大利亞《隐私法》備受矚目的原因之一。吳沈括認為，目前涉及外國數據的情形下，難免需要交叉使用數據洩露、數據披露和數據跨境的相關規定，在實行過程中可能帶來本國法與外國法的潛在管轄沖突，涉及不同國家間的管轄禮讓。

實際上，境外數據跨境後在澳大利亞境内的再轉移增加了一種新的法定情形，且其再轉移的對象不是一個政府部門，而可能是多個商業性銀行機構，澳大利亞境外的數據控制者可能會對澳大利亞相關銀行的數據保護能力存在質疑。王新銳指出，要解決上述問題，一方面需要明确數據洩露通知的顆粒度；二是在立法層面排除該項通知義務對其他國家存儲于澳大利亞數據的适用：“特别是在相關個人不是澳大利亞公民的情況下，通知澳大利亞本地銀行對個人的助益并不大。”

吳沈括表示，目前包括澳大利亞在内的大部分國家立法中，都還沒有對相關問題的直接回答，相信随着類似制度的實際落地與操作，必然會在實踐中帶來新的問題，也會成為後續制度完善的一個新的切入點。

更多内容請下載21财經APP