近日,日本尼崎市工作人员因醉酒丢失包含46万日本公民的姓名、住址、交税金额等敏感个人信息的U盘一事引发关注。该市官员召开记者会公开道歉,却又不慎透露U盘密码位数和组成,引发网友群嘲。
根据日本关于《个人信息保护法》的指南,发生数据泄露事件,数据处理者应当向日本个人信息保护委员会和数据主体通报。南都记者梳理发现,除日本外,中国、欧盟、美国均规定了数据泄露事件中数据处理者的报告义务,但具体通知方式各有不同。
尼崎市政府官员在发布会上就U盘丢失道歉
丢失46万市民个人信息,公开道歉时透露密码组成
据日本放送协会(NHK)报道,装有日本兵库县尼崎市46万517位市民个人信息的U盘于21日不慎丢失,其中包含所有市民的姓名、住址、出生年月及交税金额等。
6月23日,该市政府官员召开记者会,就U盘不慎丢失一事道歉。会上,现场官员称,尼崎市政府将发放新冠补贴的业务外包给了第三方企业,该企业工作人员未经允许,擅自将市民信息复制进U盘,于21日携带U盘前往大阪府吹田市处理业务,并进行数据移交。
据日本电视台披露,这位员工处理完毕后没有删除数据,晚上7点半携带U盘和同事前往餐馆喝酒约3小时,晚上10点半回家途中醉倒在马路上睡着。22日凌晨3点醒来,发现放有U盘的公文包丢失,随即报警并向尼崎市报告。
日本电视台漫画还原丢失U盘过程
尼崎市市长稻村和美在记者会上表示,当时还没有任何信息泄露的踪迹,并称U盘密码十分难破解。但是在具体描述“为何难破解”时,官员给出了过分详细的回答:“密码总共13位数,由英文字母和数字组成。”
这一回答被网友群嘲为“登峰造极的反面教材”。尽管在电视上已经被剪辑处理,该信息已经随着记者会的直播传播开来。
6月24日中午,丢失U盘的员工在30名警察的帮助下前往醉酒后曾经路过的地点搜寻,在大阪府吹田市的一处公寓楼区域内找到了装有U盘的公文包。
透露密码的位数和组成,会在多大程度上降低破解难度?
据网络安全公司HiveSystems2022年发布的密码长度与破解时间的研究报告,13位英文和数字组成的密码破解时间最多可达十万年。北京汉华飞天信安科技有限公司总经理彭根也指出,只要密码设得足够随机、复杂,英文部分没有规律,密码强度就已经足够大了。
密码遭受攻击时可能的最大破解时间
在互联网上,许多网友已经给出了13位密码的猜测,呼声最高的是“Amagasaki2022”——尼崎市的英文单词加上年份2022。密码是否真如网友所猜、在找到公文包之前U盘密码是否已被破解,还有待尼崎市警方之后的调查结果。
多国均要求通知数据主体,但通知方式各异
在日本的《个人信息保护法》指南中,日本个人信息保护委员会(PPC)规定,出现或可能出现以下四种数据泄露事件时,数据处理者应当承担向PPC和数据主体报告的义务:一是涉及敏感个人信息的数据泄露,二是具有财产损失风险的数据泄露,三是可能出于不正当目的而导致的数据泄露(例如网络攻击),四是超过1000名个人的数据泄露。
在此次U盘丢失事件中,数据包含了姓名、住址、出生年月及交税金额等敏感信息,且涉及人数46万,远远超过了指南的最低门槛——1000人。因此,尼崎市政府有责任向PPC和涉及的尼崎市市民报告。
指南规定,数据处理者向PPC的报告分为初步报告和最终报告两个阶段,初步报告必须在确认潜在数据泄露发生后立即进行。此外,数据处理者应当在任何数据泄露事件发生后采取必要措施,通过内部沟通和强化保护防止事态扩大,进一步调查数据泄露的事实和原因。
事实上,数据泄露报告制度在中国、欧盟、美国都有类似体现。
比如中国的网络安全法要求数据处理者在发生数据泄露后告知用户,并向相关主管部门报告,数据安全法、个人信息保护法也有相关规定。
清律律师事务所首席合伙人熊定中指出,中国的个人信息保护法不以“数量多少”或是“泄露信息类型是否敏感”来判定是否需要启动数据泄露通知制度,而是以是否确实“发生了泄露、篡改和丢失”的实质情况,以及是否“对数据主体造成危害”的定性,作为启动数据泄露通知制度的主要判定基准。
不过他提到,目前对于“如何告知”还没有更进一步的规章细则。对于“告知用户”是否应当采用新闻发布会、公告、媒体披露、网站弹窗等方法中的一种或多种,也尚无明确规定。
而欧盟的《通用数据保护条例》(GDPR)规定,数据控制者应在发生个人数据泄露事件时向欧洲数据保护专员公署(EDPB)和数据主体报告。
EDPB在《个人数据泄露报告案例指南》中列出了6个类别共18个案例的最佳实践作为参考。指南指出,与数据主体的沟通可以采取一对一的方式,但对于联系不上的情况,数据控制者应当提供公开的交流方式——当然是在不会触发额外负面影响的情况下,例如在其网站上发布一则通知。
南都记者了解到,目前美国还没有关于数据泄露通知的权威性或国家级法律,网络违规事件通报工作主要遵循法律中的一些碎片化方针,具体要求也随司法管辖区的不同而存在巨大差异。
据支付合规小组PaymentGeeks对美国各州数据泄露法律法规截至2021年7月的总结,所有州都要求数据实体向受影响的居民进行纸质和电子通报,部分州具体规定了电话、传真、邮件、媒体报道等方式进行通知,并提醒用户修改密码和安全验证问题。
电脑对美国各州数据泄露通知方式的总结。图自PaymentGeeks
采写:实习生程雨祺 南都记者蒋琳
