新闻第51期 | 互联网平台经营者何以成为“数据背锅侠”

作者 | 黄铄媛 香港大学 LL.M.

          曹哲远 华东政法大学本科

          汤昊男 中国政法大学硕士

          曹炜嘉 圣路易斯华盛顿大学 J.S.D.

审稿 | 郑晨焕 WUSTL LL.M.

编辑 | NYZ 武汉大学本科

责编 | 陈远航 美国西北大学LL.M.

一、推特在黑客要挟与政府监管中的纠结与平衡

根据BBC的报道，黑客公司以某些名人的个人信息为筹码要求推特公司为其提供200,000美元的资金。根据黑客提供的数据样本显示，黑客所掌握的数据承载着属于名人的个人信息，包括名人和政客的电话号码和电子邮件在内的不为公众所知的重要信息。这些个人信息的主体涵盖了在西方社会较有影响力的公众人物，包括美国国会女议员Alexandria Ocasio- Cortez及著名新闻主播Piers Morgan。

推特公司承诺“保护用户的隐私是推特公司工作任务的核心”，并将GDPR下的合规义务作为英国和欧盟区域的工作重点。然而，在2019年，爱尔兰数据保护委员会（DPC）因为推特公司没有及时就违规行为向DPC履行记录和报告义务违反GDPR第33条第1款和第5款，所以对推特公司进行了45万欧元的行政处罚。如今，正当推特公司因推特威胁倍感烦恼的时候，DPC因为怀疑推特公司未能成功履行欧洲数据隐私法规《通用数据保护条例》(GDPR）的规定，针对推特的数据合规义务履行情况展开调查。

值得注意的是，根据GDPR的规定，当互联网平台面临黑客攻击时，平台经营者并非孤军奋战，他们可以通过向政府的监管机构报告以寻求相应的援助。GDPR规定，互联网平台经营者在察觉到相关的违规行为之后，有义务在72小时之内向相关监管机构进行通知。同时，互联网平台经营者还应对被盗取数据的范围和相应的应急措施进行记录，方便主管机构检查互联网平台经营者是否积极履行合规义务。可见，当数据泄漏行为发生之后，互联网平台经营者有义务及时向监管机构禀报泄漏数据的具体内容及处理方式，否则将会引起相关的法律责任。例如DPC在2018年底就因为Facebook的数据泄露事件，对Facebook的数据合规措施展开了相应的调查，并对该公司处以更为严苛的罚款。

本文将以GDPR为核心结合其他法域的相关规定，着重讨论包括推特在内的互联网平台经营者在数据泄露事件中所要履行的监管、报告及处理义务，及黑客公司的追责问题。

（图片来源于网络）

二、互联网经营者的合规义务分析

GDPR中规定了一项问责要求，即互联网平台经营者必须证明其遵守了GDPR制度中的合规义务，这有些类似于法律制度中的举证责任倒置。

在某些情况下，互联网平台经营者有必要任命一名数据保护官。一套由适当的规章制度、员工培训及数据保护意识所支持的互联网平台经营者治理结构，则是履行互联网平台经营者职责并证明其合规性的关键所在。互联网平台经营者必须在充分理解问责制要求的基础上对现有的规章制度进行审查、修改和补充以长期遵守。

1.数据处理活动的记录

根据GDPR的规定，包括互联网平台经营者在内的数据控制者应当保持其所负责的处理活动的记录，该记录应当包含如下信息：

（1）数据控制者、数据保护官的姓名、详细联系方式；

（2）数据处理的目的；

（3）对数据主体的类型以及个人数据的类型的描述；

（4）个人数据已经被披露或将被披露给的接收者（包括位于第三国或国际组织的接收者）的类型；

（5）将个人数据转移到第三国或国际组织的记录以及对适当保障措施的记录；

（6）删除不同种数据类型的预计期限；

（7）技术性与组织性安全措施的一般性描述。

2.数据保护影响评估

如果数据处理活动可能对自然人的权利和自由造成很高的风险，该互联网平台经营者应在进行数据处理之前，对其影响进行评估。如果评估表明，在互联网平台经营者没有采取措施降低风险的情况下，处理过程将导致高风险，应事先咨询监管机构。 

3. 数据保护官

若互联网平台经营者核心活动包括以下各种情形，则必须配备有独立、可靠的数据保护官：

（1）互联网平台经营者的核心业务活动包括对大规模的数据主体进行定期和系统的监测；

（2）对大量特殊类型的个人数据（健康、宗教、种族、性取向等）或与刑事定罪量刑相关的数据进行处理。

对于数据保护官而言，独立性是首要要求，其必须独立于互联网平台经营者内部其他所有的部门单独设置，可以是一个人，也可以是一个部门，这一点与中国的网络安全负责人不同，数据保护官无需对数据安全事件等侵犯数据主体权利的情形负责，需要独立向监管机关报告，而网络安全负责人是需要对于安全事件等问题承担责任的。

一组数据处理实施者可委任一名数据保护官，但须确保每个机构都易于联系该数据保护官。当地法律可能会要求在其他情况下仍需配备数据保护官（例如德国）。

（图片来源于网络）

4. 技术和组织安全措施的实施

为保护所处理的个人数据，必须采取与数据处理活动相适应的及合理的技术和组织措施。这种技术和组织措施的实施需要跟记录等义务联系起来，形成一个贯通互联网平台经营者整体的管理系统，从而达到GDPR所要求的数据保护水平。

5. 数据泄露的通知

欧盟最主要的数据保护法律GDPR对信息控制者、处理者在信息泄露方面的规范主要存在于对其报告义务的规范方面，如第33条向监管机构报告对个人数据的泄露和第34条向数据主体传达个人数据泄露的相关规定。

6.通过设计实现数据保护和通过默认设置实现数据保护

互联网平台经营者一般应当采取适当的技术和组织措施，该措施设计的目的是实现数据保护原则，如数据最小化和将必要的保障措施融入数据处理过程，以保护数据主体的各项权利，在默认情况下，确保为特定目的处理的数据是必要的。

7.欧盟代表

除少数例外情形，受GDPR管辖但未在欧盟设立办事处的互联网平台经营者须在欧盟委任一名代表以处理相关事务，他需要对监管机构的质询和数据主体的请求做出回应，并且协助对于违规行为的执行程序，保持对处理行为的记录并且保证该等记录可以应请求查询。

三、黑客公司的法律责任分析

推特公司可能因为数据保护不力而承担责任，那么利用网络漏洞泄露信息、进行勒索的黑客公司通常需要承担怎样的法律责任呢？

广泛定义下的黑客指人为闯入计算机系统的行为。然而，黑客并不必然构成犯罪。例如，有适当的同意或授权的“道德黑客”在法律上就被允许利用安全网络。然而，当黑客在没有此类同意或合法授权的情况下访问他人的计算机系统和数据时，黑客攻击就可能构成犯罪，可能会被执法机构处罚。

（图片来源于网络）

在美国，负责监管和约束黑客行为的联邦法律主要包括：

•《计算机欺诈和滥用法》 (CFAA)

•《存储通信法》(SCA)

•《电子通信隐私法》(ECPA)

•《保护商业秘密法》 (DTSA)

其中《计算机欺诈和滥用法》(CFAA）是联邦反黑客综合性立法，该法禁止未经授权访问他人的计算机系统。该法律最初旨在保护美国政府实体和金融机构的计算机系统，但随着该法案修正案对涵盖范围的不断扩大，目前法案的保护范围包括服务器、台式机、笔记本电脑、手机和平板电脑等各类计算机。

CFAA对黑客入侵行为的刑事规制主要包括获取国家安全信息、计算机欺诈、获取隐私数据、故意破坏传输网络、涉及计算机的敲诈勒索、贩卖密码等行为。根据法案规定，获取隐私数据第一次定罪刑期为一年，敲诈勒索行为第一次定罪刑期为五年，两种犯罪第二次定罪量刑均为十年。

虽然CFAA主要是对刑事犯罪的惩罚，但1994年的修正案扩大了该法案，除了刑事起诉外，还包括了民事起诉。民事违法行为包括以下内容：

• 未经授权访问计算机并获取信息

• 贩卖可用于访问计算机的密码

• 传输垃圾邮件

• 损坏计算机数据

此外，CFAA为黑客受害者提供了民事补救措施，包括：禁令、扣押财产、扣押被盗信息和用于进行入侵的电子设备等强制措施。另外，各州也有自己的计算机犯罪法，部分州通过更为具体的方式处理黑客攻击问题。

而在我国，刑法就黑客犯罪主要规定了四项罪名：

•非法侵入计算机信息系统罪

•非法获取计算机信息系统数据、非法控制计算机信息系统罪

•提供侵入、非法控制计算机信息系统程序、工具罪

•破坏计算机信息系统罪

但以上罪名所保护的对象主要是国家事务、国防建设、尖端科学技术领域的计算机信息系统，违法者处三年以下有期徒刑或者拘役。

2016年的《网络安全法》则针对互联网平台经营者的用户数据安全义务进行了规定，“网络运营者应当对其收集的用户信息严格加密，并建立健全用户信息保护制度”，“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”。

针对黑客通过网络漏洞获得用户信息并泄漏的行为，根据《个人信息保护法》规定，履行个人信息保护职责的部门应按照规定权限约谈公司的法定代表人和相关负责人，并要求公司委托专业机构对进行合规审计。

如果合规审计表明，公司并未切实履行法律明确规定的信息保护措施，即使是用户数据泄露的直接原因是黑客侵入，其也需承担相应的民事赔偿责任，具体的责任份额需结合用户数据被盗取的具体方式以及公司未履行保障义务的程度来衡定。

在发生信息安全事件后，个人信息处理者可以免责的条件是其能够证明自己没有过错，即公司已充分履行了法定合规动作，仍没有办法避免用户信息为黑客所窃取。