日本怎么找律师事务所，日本有几家律师事务所

近日，日本尼崎市工作人员因醉酒丢失包含46万日本公民的姓名、住址、交税金额等敏感个人信息的U盘一事引发关注。该市官员召开记者会公开道歉，却又不慎透露U盘密码位数和组成，引发网友群嘲。

根据日本关于《个人信息保护法》的指南，发生数据泄露事件，数据处理者应当向日本个人信息保护委员会和数据主体通报。南都记者梳理发现，除日本外，中国、欧盟、美国均规定了数据泄露事件中数据处理者的报告义务，但具体通知方式各有不同。

尼崎市政府官员在发布会上就U盘丢失道歉

丢失46万市民个人信息，公开道歉时透露密码组成

据日本放送协会（NHK）报道，装有日本兵库县尼崎市46万517位市民个人信息的U盘于21日不慎丢失，其中包含所有市民的姓名、住址、出生年月及交税金额等。

6月23日，该市政府官员召开记者会，就U盘不慎丢失一事道歉。会上，现场官员称，尼崎市政府将发放新冠补贴的业务外包给了第三方企业，该企业工作人员未经允许，擅自将市民信息复制进U盘，于21日携带U盘前往大阪府吹田市处理业务，并进行数据移交。

据日本电视台披露，这位员工处理完毕后没有删除数据，晚上7点半携带U盘和同事前往餐馆喝酒约3小时，晚上10点半回家途中醉倒在马路上睡着。22日凌晨3点醒来，发现放有U盘的公文包丢失，随即报警并向尼崎市报告。

日本电视台漫画还原丢失U盘过程

尼崎市市长稻村和美在记者会上表示，当时还没有任何信息泄露的踪迹，并称U盘密码十分难破解。但是在具体描述“为何难破解”时，官员给出了过分详细的回答：“密码总共13位数，由英文字母和数字组成。”

这一回答被网友群嘲为“登峰造极的反面教材”。尽管在电视上已经被剪辑处理，该信息已经随着记者会的直播传播开来。

6月24日中午，丢失U盘的员工在30名警察的帮助下前往醉酒后曾经路过的地点搜寻，在大阪府吹田市的一处公寓楼区域内找到了装有U盘的公文包。

透露密码的位数和组成，会在多大程度上降低破解难度？

据网络安全公司HiveSystems2022年发布的密码长度与破解时间的研究报告，13位英文和数字组成的密码破解时间最多可达十万年。北京汉华飞天信安科技有限公司总经理彭根也指出，只要密码设得足够随机、复杂，英文部分没有规律，密码强度就已经足够大了。

密码遭受攻击时可能的最大破解时间

在互联网上，许多网友已经给出了13位密码的猜测，呼声最高的是“Amagasaki2022”——尼崎市的英文单词加上年份2022。密码是否真如网友所猜、在找到公文包之前U盘密码是否已被破解，还有待尼崎市警方之后的调查结果。

多国均要求通知数据主体，但通知方式各异

在日本的《个人信息保护法》指南中，日本个人信息保护委员会（PPC）规定，出现或可能出现以下四种数据泄露事件时，数据处理者应当承担向PPC和数据主体报告的义务：一是涉及敏感个人信息的数据泄露，二是具有财产损失风险的数据泄露，三是可能出于不正当目的而导致的数据泄露（例如网络攻击），四是超过1000名个人的数据泄露。

在此次U盘丢失事件中，数据包含了姓名、住址、出生年月及交税金额等敏感信息，且涉及人数46万，远远超过了指南的最低门槛——1000人。因此，尼崎市政府有责任向PPC和涉及的尼崎市市民报告。

指南规定，数据处理者向PPC的报告分为初步报告和最终报告两个阶段，初步报告必须在确认潜在数据泄露发生后立即进行。此外，数据处理者应当在任何数据泄露事件发生后采取必要措施，通过内部沟通和强化保护防止事态扩大，进一步调查数据泄露的事实和原因。

事实上，数据泄露报告制度在中国、欧盟、美国都有类似体现。

比如中国的网络安全法要求数据处理者在发生数据泄露后告知用户，并向相关主管部门报告，数据安全法、个人信息保护法也有相关规定。

清律律师事务所首席合伙人熊定中指出，中国的个人信息保护法不以“数量多少”或是“泄露信息类型是否敏感”来判定是否需要启动数据泄露通知制度，而是以是否确实“发生了泄露、篡改和丢失”的实质情况，以及是否“对数据主体造成危害”的定性，作为启动数据泄露通知制度的主要判定基准。

不过他提到，目前对于“如何告知”还没有更进一步的规章细则。对于“告知用户”是否应当采用新闻发布会、公告、媒体披露、网站弹窗等方法中的一种或多种，也尚无明确规定。

而欧盟的《通用数据保护条例》（GDPR）规定，数据控制者应在发生个人数据泄露事件时向欧洲数据保护专员公署（EDPB）和数据主体报告。

EDPB在《个人数据泄露报告案例指南》中列出了6个类别共18个案例的最佳实践作为参考。指南指出，与数据主体的沟通可以采取一对一的方式，但对于联系不上的情况，数据控制者应当提供公开的交流方式——当然是在不会触发额外负面影响的情况下，例如在其网站上发布一则通知。

南都记者了解到，目前美国还没有关于数据泄露通知的权威性或国家级法律，网络违规事件通报工作主要遵循法律中的一些碎片化方针，具体要求也随司法管辖区的不同而存在巨大差异。

据支付合规小组PaymentGeeks对美国各州数据泄露法律法规截至2021年7月的总结，所有州都要求数据实体向受影响的居民进行纸质和电子通报，部分州具体规定了电话、传真、邮件、媒体报道等方式进行通知，并提醒用户修改密码和安全验证问题。

对美国各州数据泄露通知方式的总结。图自PaymentGeeks

采写：实习生程雨祺 南都记者蒋琳