首页 > 动态中心 > 技术文章  >  正文

连锁巨头数次数据泄露遭巨额处罚,传统企业敲响警钟!

2023-06-15 00:00:00

文章摘要:3月31日,一家知名酒店在其官方网站上宣布发生了数据泄漏,这是该集团在过去两年中发生的第二起重大数据安全事件。该集团宣布,数据泄漏发生在今年1月中旬至2月底,可能是因为第三方使用该员工的登录凭证访问该集团的访客数据,涉及总计520万访客信息,目前已被禁用。这一消息无疑给用户带来了深深的焦虑。当今智能信息时代,数据的价值越来越突显,数据安全逐渐成为企业关注的重点。不仅是互联网企业,其他传统企业也逐渐

3月31日,一家知名酒店在其官方网站上宣布发生了数据泄漏,这是该集团在过去两年中发生的第二起重大数据安全事件。该集团宣布,数据泄漏发生在今年1月中旬至2月底,可能是因为第三方使用该员工的登录凭证访问该集团的访客数据,涉及总计520万访客信息,目前已被禁用。这一消息无疑给用户带来了深深的焦虑。

当今智能信息时代,数据的价值越来越突显,数据安全逐渐成为企业关注的重点。不仅是互联网企业,其他传统企业也逐渐暴露出转型过程中的数据安全困境。尤其是大型跨国企业需要更加重视数据安全合规性。一旦发生数据泄露,企业的信誉将大大降低。侵犯数据主体的权利可能导致一系列集体诉讼。

面对如此严峻的数据防泄密形势,作为企业数据管理人员,本文从全球数据合规的角度,结合近期数据泄露风波,简要论述了企业日常数据安全合规的要求以及如何应对数据披露等实际问题,以期从法律层面将数据披露带来的风险降至最低。

数据泄露的法律分析

泄露数据的类型

以本文开头提到的事件为例,根据集团发布的公告,数据泄露的信息包括:

(1)联系信息(姓名、邮寄地址、电子邮件地址、手机号码);

(2)会员账户信息(如账号、信用余额等,但不包括密码);

(3)其他个人信息(如公司、性别、出生日期和月份);

(4)合作及关联企业的常旅客信息,如关联航空公司的常旅客计划和会员编号;

(5)用户偏好(例如,住房偏好、语言偏好)。

上述信息可以与特定自然人独立关联或识别,也可以与其他信息结合使用,无论是根据国内法律还是海外数据法律法规(如GDPR)的规定,这些信息都可以被识别为法律意义上的个人信息,甚至是一些敏感的个人信息。此类信息披露后,用户可能会面临电信欺诈和人身安全等风险,或者黑客可能会导致用户的数据(帐户信息、密码等)。)通过数据库冲突等技术公开的其他产品/服务。导致用户其他账户信息泄露,这是一起严重的个人信息泄露事件。此外,我们还查看了该组织的隐私政策,该政策并未表明该组织将在数据安全部分采取何种数据保护技术措施。

处理数据泄露事件的法律程序

数据泄漏后,企业应该如何应对才能顺利度过难关?作者从内部和外部两个维度做了简要的阐述。内部的
数据安全事件发生后,企业应立即启动数据安全应急响应计划,动员多个部门共同处理技术、安全、人力资源、GR/PR等事宜。当然,法律参与是不可或缺的。

企业技术安全部——应在数据泄露后的第一时间内对事件的真实性和相关性进行内部确认,并采取技术措施(包括切断网络、封锁账号等。)停止数据泄漏,同时进行内部原因调查,评估数据的性质和后续处理流程,并记录数据事件的内容。

人事部——应调查涉案员工的情况(如有),如有内部人员数据泄露,应做出处理结果。政府关系部/公共关系部/企业DPO ——等类似角色应及时发表意见、处理和记录公众意见、与监管机构沟通、处理采访等。

在上述过程中,法律部门必须提供全面的合规支持,包括但不限于研究国内外相关法律法规(如中国的《互联网安全法》、《个人信息安全守则》、欧盟GDPR等)。)并确定企业(控制者或处理者)在此数据泄露事件中的角色。),披露此数据披露可能导致的法律后果(行政罚款、民事责任和刑事处罚),以及应履行的后续法律义务,如向监管机构报告和向用户发布通知。

如上所述,在数据安全事件发生后,如果相关国家/地区的适用法律法规要求有义务向监管机构报告,他们必须在这些国家/地区规定的时限内向监管机构报告。

向监管机构报告

根据我国《网络安全法》和《国家网络安全事件应急预案》的规定,企业应立即向当地网络信息部门、当地通信管理部门或相关应急办公室报告。企业报告应包括:

(1)个人信息主体的类型、数量、内容和性质的概况;

(2)安全事件的可能影响;

(3)企业已经采取或者将要采取的措施;

(4)处理安全事件人员的联系信息。

根据欧洲联盟GDPR第33条,在个人数据泄漏发生后,数据控制员应根据GDPR第55条尽快通知监管机构,最迟在已知泄漏后72小时内。如果通知在72小时内发送给监管机构,应说明延迟的原因。个人数据的披露不太可能对自然人的权利和自由构成风险,也可能不予报告。企业向监管部门报告的内容至少应包括:

(1)描述个人资料披露的性质,包括所涉及的资料当事人的类型和大概数目,以及有关个人资料记录的类型和大概数目;

(2)告知数据保护专家的姓名和联系信息,或可以获得更多信息的其他联系人;(3)描述个人信息披露的可能后果;

(3)描述数据控制人员为弥补个人数据泄露而采取或计划采取的措施,包括减少潜在负面影响的措施。

数据安全事件的法律后果

企业数据安全合规的三个步骤

企业数据安全合规,应遵循网络安全法等法律法规,实施平等保护2.0等制度要求,采用GDPR标准、国际标准化组织/国际电工委员会27001,建立完善的合规体系。具体来说,我们可以从以下三个步骤开始:

配置数据安全合规团队和负责人

一般来说,互联网企业会配置安全技术部门,但数据安全合规人员并不多,技术团队一般对他们负责。然而,数据安全合规性肯定不仅涉及技术问题,还涉及更多的法律、法规和合规性方面。此外,这项工作不仅由法律部门单独承担,还需要与信息技术部门、安全部门和GR/PR部门进行协调。最佳的实际计划是部署数据保护合规法律人员,并与技术和安全团队一起建立数据安全合规团队。

团队应该设置专项负责人。根据我国网络安全法,企业应设立网络安全负责人,落实网络安全保护责任。根据《数据安全管理办法》(征求意见稿),企业应指定数据安全负责人,组织制定和实施数据保护计划等。根据《信息安全技术 个人信息安全规范》,企业应成立个人信息保护组织和负责人,协调个人信息安全工作。海外地区的一些国家已经规定了数据保护官员(DPO)或类似人员(例如,澳大利亚要求企业设立隐私专员等。)。因此,企业可以根据自身条件设置数据保护主体,协调数据安全和隐私保护。制定并实施数据管理系统和运行机制。除组织人员外,企业还应建立健全数据保护管理制度和运行机制。在系统文件层面,根据中国法律规定和国际标杆标准,企业应制定通用数据安全管理标准,明确企业数据保护原则和组织机构,并据此制定以下子文件,如:

数据安全事件应急计划

计划内容应包括常见事件场景、原则、职责、评估、处理流程、运行模式、人员安排、数据披露公告模板等。的应急机制,并应根据法律、法规或监管要求的变化以及事件的处理情况及时更新。

角色权限控制系统

根据内部员工的不同角色,赋予不同的数据库访问权限和安全职责。对于可能访问企业数据库的外部人员,应要求他们签署保密协议并进行监督。

员工数据保护系统

企业通过部署数据防泄漏系统(数据保护系统),内部数据被非法窃取到外部,无法正常打开,从源头控制数据被泄露的风险。

数据访问审计系统

根据数据的敏感性和员工职位的性质,设置合理的审批流程。

第三方数据管理系统

对于数据供应商,建立仓储审查制度、承诺书(确认数据的合法来源),并签订合同明确双方责任;对于数据处理服务提供商,即数据保密协议、安全审计、安全监控等。在数据处理活动中。

数据安全工程系统

定期(至少每年一次)进行数据安全风险检测,在产品需求、设计、开发、测试和发布的系统工程阶段进行数据安全同步规划、同步建设、同步评估和同步使用机制。建立安全审计机制来检测数据处理活动。

仅上述系统文档是不够的。企业还应建立完善的运行机制,如完善的数据安全事件响应流程,能够在不幸的数据安全事件发生后快速有序地做出响应。此外,企业应定期(至少每年一次)组织相关内部人员开展应急培训和评估及应急演练,使其掌握工作职责和应急处置策略及程序,避免企业内部员工造成数据泄露。

建立适当的数据安全技术能力

企业应建立适当的数据安全能力,采取必要的技术措施防止病毒、网络攻击等。防止数据泄漏、丢失、损坏等。具体而言,它包括数据的分类和分级存储、重要数据/个人敏感信息的加密传输和存储、用户侧和雇员侧必要的相关个人信息的脱敏和显示(例如客户服务呼叫中心)、多重身份认证等。

数据收集后,企业应采取去标识处理方法保护数据安全,并采取技术措施将可用于恢复和标识的个人信息与去标识信息分开存储,加强访问和使用权管理。在流行期间,更有必要对医疗行业的数据采用去识别处理方法,如取消患者/医生的身份信息(如姓名、身份证号码、地址等)。),删除或取消或概括联系信息,并对医疗日期采用“时间偏移法”、转换法、概括法等手段。具体实施请参考《信息安全技术 健康医疗数据安全指南(征求意见稿)》)。

综上所述,网络并不是绝对安全的。许多大型企业遭受网络攻击和数据安全事件。此外,数据安全取决于许多因素,如物理安全、主机安全、网络安全等如果发生不幸的数据安全事件,可以引导企业相关部门安全处理,及时采取有效措施进行处理,最大限度地减少用户损失,恢复企业声誉。

上一篇 : 对话“黑市”卧底:微博数据信息泄露究竟有多大风险?
  • 相关推荐
  • 化妆品巨头雅诗兰黛遭遇恶意数据泄露

    据消息,化妆品巨头雅诗兰黛最近遭到了来自两个不同勒索软件的数据泄露攻击。在7月18日提交给美国证券交易委员会 (SEC) 的文件中,雅诗兰黛公司证实了其中一次攻击,称攻击者获得了其部分系统的访问权限,并可能窃取了数据。该公司没有提供有关该数据泄露事件的太多细节,称其积极采取行动并关闭了一些系统,但已这次攻击似乎是受MO...

    2023-09-01 00:00:00
  • 如何保障餐饮连锁企业的终端安全?

    餐饮连锁企业保障终端安全的重要性不言而喻,尤其是在当前信息化时代,网络安全威胁日益猖獗的情况下,保障终端安全不仅能够保护企业机密信息不被盗取,还能够防范其他各种安全威胁,如病毒、恶意软件、数据泄露等。餐饮连锁企业的终端安全管理是非常重要的,因为餐饮连锁店的规模通常较大,涉及的财务、客户、运营等重要信息也比较复杂。洞察眼...

    2023-07-19 00:00:00
  • 科技巨头发生严重数据泄露,防范泄密风险还需这样做

    信息安全措施不到位,极易被不法分子钻空子,威胁企业机密安全。近日某科技巨头发布了一份声明,承认其网络被未知的第三方非法进入,在入侵期间,文件服务器上的一些数据被非法访问。据相关媒体报道,该入侵事件从今年下半年开始,访问服务器的时间长达四个多月,被泄露的敏感信息包括客户详细信息、员工个人信息、技术文件等。据悉该集团公司的...

    2023-07-18 00:00:00
  • 数据防泄密科普:餐饮连锁企业的终端安全防泄密管理

    客户简要介绍某餐饮连锁企业是一家以自主研发、生产、配送、销售为一体的现代化餐饮企业,主营生鲜饺子、云吞及面制品,该公司成立超70年,现有全国连锁1000余家,门店覆盖全国各地,品牌致力于传承最正宗的广式饺子云吞口味,品牌主打”现包现煮”的理念,打造饺子云吞生态新体验,成为全国生面行业的领军品牌企...

    2023-07-18 00:00:00
  • 数据防泄密科普:药品连锁企业的终端防泄密

    客户简要介绍某连锁股份有限公司是全国大型药品零售上市连锁企业,专注医药零售行业21载,致力于医药零售、医药批发、中药饮片生产销售、慢病管理、互联网医院、医疗项目投资和医疗科技开发等大健康业态。在全国拥有连锁药店超8000家,员工超过30000人。市值稳居国内上市连锁药店前列,被评为中国上市公司500强企业。企业的核心诉...

    2023-07-18 00:00:00
  • 数据防泄密科普:社区生鲜连锁企业的终端安全管理

    客户简要介绍某社区生鲜连锁品牌成立于2012年,是社区生鲜连锁品牌的开拓者,经营蔬菜、水产、水果、肉类、蛋奶、加工食品等生鲜品类,超过500种商品。通过“日清”和“定时打折”模式,从新鲜角度重新梳理传统生鲜行业的标准,重新定义了肉菜市场。截至2023年,服务已经遍布超30座城市,门店数超过3000余家。企业的核心诉求各...

    2023-07-18 00:00:00
  • 连锁门店终端电脑管理解决方案

    目前零售企业不断发展壮大,旗下的连锁分支也越来越扩散,在连锁门店管理过程中,经常会暴露出许多关于连锁门店的电脑IT终端管理问题,那么在这个市场环境日益激烈的情况下,如何提升连锁门店电脑IT终端稳定运行效率呢?洞察眼连锁店电脑管理系统,为连锁门店提供多门店电脑终端一体化管理解决方案,下面我们就来了解下连锁店终端电脑管理的...

    2023-07-07 00:00:00
  • 体育连锁巨头迪卡侬发生数据泄露 造成1.23亿条记录泄露

    据外媒报道,体育连锁巨头迪卡农( Decathlon )近日发生大范围的数据泄露,或因1.23亿件记录保存在不安全的数据库中。这是vpnMentor安全研究者发现的,本周一发表的。 这个数据库属于迪卡农西班牙和迪卡农英国的公司。泄露的数据包括员工的系统用户名、未加密密码、API日志、API用户名和个人信息。对于dica...

    2023-06-15 00:00:00
  • 电信巨头T-Mobile数据泄露导致用户个人财务信息曝光

    T-Mobile宣布了一项数据泄露事件,事件起因在于其电子邮件供应商遭到黑客入侵,导致从电子邮件中泄露了一些用户的个人和财务信息。T-Mobile在其网站上发布的“数据泄露通知”中指出,黑客入侵其电子邮件供应商,未经授权地访问了T-Mobile员工的电子邮件账户。电子邮件账户包含T-Mobile用户信息,例如社会保险号...

    2023-06-15 00:00:00
  • 黑客入侵印度视频点播巨头ZEE5 大量用户数据疑遭泄露

    近日,据国外媒体报道,印度视频点播巨头ZEE5遭黑客入侵,攻击者扬言要在暗网市场上出售该数据库,疑似大量用户数据惨遭泄露。一个名为约翰·威克的黑客声称已经入侵了印度视频点播巨头ZEE5,现在威胁要在网络犯罪市场上出售该数据库。推荐阅读:企业如何防止内部数据泄露?ZEE5是由Essel Group通过其子公司Zee En...

    2023-06-15 00:00:00

大家都在搜的词:

微信扫一扫联系售前工程师