2021年9月1日，《中华人民共和国数据安全法》（以下简称“《数据安全法》”）正式施行。近期，我们为某世界知名高科技公司提供了应对数据泄露安全事件的专项法律服务。凭借处置数据安全事件的专业经验，以及对于相关法律法规适用的深刻理解，我们迅速甄别法律合规问题并给出处置方案，帮助客户在最短时间内扭转不利局面。本文试从数据泄露的角度，探讨企业应如何应对数据泄露事件，如何提升数据安全管理水平，从而有效降低发生数据安全事件的风险。

不少互联网大数据企业，以及大部分致力于数字化转型的传统企业，在网络安全与数据保护方面并未给予足够的重视及投入，多多少少存在一些漏洞与隐患：例如在应用层面，作为企业核心资产的数据仍明文传输和存储；在网络层面，重要的网络系统未执行限制登录IP策略就向国际互联网开放；在服务器层面，服务器未设置账户密码策略、登录失败锁定和超时策略等。这些常见的安全问题，同样在本次数据泄露事件中出现，关于技术问题本文不深入阐述，从法律合规角度我们主要聚焦以下四点：

一、及时履行报告义务

数据泄露属于网络安全事件，《网络安全法》和《数据安全法》对于企业发生数据泄露事件，均规定了企业应依法向监管部门报告的法定义务。如果发生重大的数据泄露事件，企业又没有及时履行报告义务，那么大概率将遭到监管部门的处罚。需要特别注意的是，《数据安全法》相关罚则较为严厉，并且新法施行后各地“首案”尚未出现，一旦成为各地“首案”将给企业带来永远抹不去的负面影响。

二、正确理解监管思维

 自“净网2018”专项行动以来，公安机关已全面实行“一案双查”制度[i]。这里的“一案双查”是指在对网络违法犯罪案件开展侦查调查工作时，同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者，公安机关将依法对其进行严厉查处，努力从源头遏制网络违法犯罪案件发生。也就是说，如果企业没有履行网络安全和数据安全义务，作为受害者的企业，不仅自身将承担各项损失，同时将遭受监管部门的行政处罚。值得注意的是，《网络安全法》《数据安全法》所有罚则均为“双罚制”，企业及直接责任人都将遭受处罚。

三、重视客户数据泄露

许多企业在发生数据泄露之初，并没有意识到一些潜在的重大风险。比如说网络系统内存储的客户数据，包括商务合同、财务资料、知识产权数据等可能包含重要商业秘密的内容。此外，如果相关客户是上市企业，数据泄露很可能涉及信息披露的问题。实践中我们遇到不少发生数据泄露的企业，可能对自有数据发生泄露毫不在乎。但是，一旦涉及客户数据泄露，相关客户是不是这样考量就很难一概而论了。如果由于自身怠于处置，给客户带来了巨大经济损失，巨额索赔的风险恐怕很难避免。

四、切忌盲目掩盖事实

不少企业在发生数据泄露后，企图通过一定的手段掩盖事实，主要目的是避免监管调查。这样的思路看似妙招，但现实中却很难实现。主要原因有四点，一是《网络安全法》第五十一条明确规定国家建立网络安全监测预警和信息通报制度，全球各地无时无刻都在密切监测网络安全事件，重大数据泄露事件无疑是监测的重点；二是黑客一旦得手，必然会在国际互联网上主动披露相关事件，炫耀战绩的同时向受害企业施加巨大的压力；三是在黑客披露数据泄露事件相关信息后，一旦在网络上传播，容易引发舆论炒作，将带来更严重的危害性；四是基于危害性加剧，监管部门大概率会在裁量范围内从严从重处罚瞒报企业。

一、全面提高数据安全合规意识

我们在实践中发现，大部分客户对数据泄露可能带来的危害缺乏必要的认知，因此导致事发后迟迟没能作出正确决策。在没有发生数据泄露事件的时候，绝大部分企业普遍认为离自己很远。事实上，没有采取有效行动的企业，安全风险始终如影随形。

二、开展网络安全等级保护测评

网络安全等级保护测评是《网络安全法》规定的法定义务，《数据安全法》针对利用互联网开展数据处理活动，特别提到了要在网络安全等级保护制度的基础上，履行数据保护义务。相当一部分企业至今仍对网络安全等级保护测评工作不以为然，认为这是一件劳民伤财又看不到实际价值的工作。现如今，最新立法再次明确这一法定义务，我们建议相关企业尽快着手推进落实。

三、各部门协同高效推进

数据合规工作需要法律合规、风控与IT技术等多个部门协同推进，现实中这些部门通常属于不同的分管领导，容易发生内部相互推诿导致无法高效推进。因此，我们建议企业应首先理顺汇报线，例如成立专门的数据保护委员会，全面整合内部资源协同推进。

《网络安全法》第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《数据安全法》第二十九条　开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

《数据安全法》第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

《网络安全法》第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

《数据安全法》第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。