日本怎么找律师事务所,日本有几家律师事务所

时间:2022-12-18 20:23:33来源:法律常识

近日,日本尼崎市工作人员因醉酒丢失包含46万日本公民的姓名、住址、交税金额等敏感个人信息的U盘一事引发关注。该市官员召开记者会公开道歉,却又不慎透露U盘密码位数和组成,引发网友群嘲。

根据日本关于《个人信息保护法》的指南,发生数据泄露事件,数据处理者应当向日本个人信息保护委员会和数据主体通报。南都记者梳理发现,除日本外,中国、欧盟、美国均规定了数据泄露事件中数据处理者的报告义务,但具体通知方式各有不同。

日本46万信息U盘丢失,官员道歉,各国如何通知数据泄露?

尼崎市政府官员在发布会上就U盘丢失道歉

丢失46万市民个人信息,公开道歉时透露密码组成

据日本放送协会(NHK)报道,装有日本兵库县尼崎市46万517位市民个人信息的U盘于21日不慎丢失,其中包含所有市民的姓名、住址、出生年月及交税金额等。

6月23日,该市政府官员召开记者会,就U盘不慎丢失一事道歉。会上,现场官员称,尼崎市政府将发放新冠补贴的业务外包给了第三方企业,该企业工作人员未经允许,擅自将市民信息复制进U盘,于21日携带U盘前往大阪府吹田市处理业务,并进行数据移交。

据日本电视台披露,这位员工处理完毕后没有删除数据,晚上7点半携带U盘和同事前往餐馆喝酒约3小时,晚上10点半回家途中醉倒在马路上睡着。22日凌晨3点醒来,发现放有U盘的公文包丢失,随即报警并向尼崎市报告。

日本46万信息U盘丢失,官员道歉,各国如何通知数据泄露?

日本电视台漫画还原丢失U盘过程

尼崎市市长稻村和美在记者会上表示,当时还没有任何信息泄露的踪迹,并称U盘密码十分难破解。但是在具体描述“为何难破解”时,官员给出了过分详细的回答:“密码总共13位数,由英文字母和数字组成。”

这一回答被网友群嘲为“登峰造极的反面教材”。尽管在电视上已经被剪辑处理,该信息已经随着记者会的直播传播开来。

6月24日中午,丢失U盘的员工在30名警察的帮助下前往醉酒后曾经路过的地点搜寻,在大阪府吹田市的一处公寓楼区域内找到了装有U盘的公文包。

透露密码的位数和组成,会在多大程度上降低破解难度?

据网络安全公司HiveSystems2022年发布的密码长度与破解时间的研究报告,13位英文和数字组成的密码破解时间最多可达十万年。北京汉华飞天信安科技有限公司总经理彭根也指出,只要密码设得足够随机、复杂,英文部分没有规律,密码强度就已经足够大了。

日本46万信息U盘丢失,官员道歉,各国如何通知数据泄露?

密码遭受攻击时可能的最大破解时间

在互联网上,许多网友已经给出了13位密码的猜测,呼声最高的是“Amagasaki2022”——尼崎市的英文单词加上年份2022。密码是否真如网友所猜、在找到公文包之前U盘密码是否已被破解,还有待尼崎市警方之后的调查结果。

多国均要求通知数据主体,但通知方式各异

在日本的《个人信息保护法》指南中,日本个人信息保护委员会(PPC)规定,出现或可能出现以下四种数据泄露事件时,数据处理者应当承担向PPC和数据主体报告的义务:一是涉及敏感个人信息的数据泄露,二是具有财产损失风险的数据泄露,三是可能出于不正当目的而导致的数据泄露(例如网络攻击),四是超过1000名个人的数据泄露。

在此次U盘丢失事件中,数据包含了姓名、住址、出生年月及交税金额等敏感信息,且涉及人数46万,远远超过了指南的最低门槛——1000人。因此,尼崎市政府有责任向PPC和涉及的尼崎市市民报告。

指南规定,数据处理者向PPC的报告分为初步报告和最终报告两个阶段,初步报告必须在确认潜在数据泄露发生后立即进行。此外,数据处理者应当在任何数据泄露事件发生后采取必要措施,通过内部沟通和强化保护防止事态扩大,进一步调查数据泄露的事实和原因。

事实上,数据泄露报告制度在中国、欧盟、美国都有类似体现。

比如中国的网络安全法要求数据处理者在发生数据泄露后告知用户,并向相关主管部门报告,数据安全法、个人信息保护法也有相关规定。

清律律师事务所首席合伙人熊定中指出,中国的个人信息保护法不以“数量多少”或是“泄露信息类型是否敏感”来判定是否需要启动数据泄露通知制度,而是以是否确实“发生了泄露、篡改和丢失”的实质情况,以及是否“对数据主体造成危害”的定性,作为启动数据泄露通知制度的主要判定基准。

不过他提到,目前对于“如何告知”还没有更进一步的规章细则。对于“告知用户”是否应当采用新闻发布会、公告、媒体披露、网站弹窗等方法中的一种或多种,也尚无明确规定。

而欧盟的《通用数据保护条例》(GDPR)规定,数据控制者应在发生个人数据泄露事件时向欧洲数据保护专员公署(EDPB)和数据主体报告。

EDPB在《个人数据泄露报告案例指南》中列出了6个类别共18个案例的最佳实践作为参考。指南指出,与数据主体的沟通可以采取一对一的方式,但对于联系不上的情况,数据控制者应当提供公开的交流方式——当然是在不会触发额外负面影响的情况下,例如在其网站上发布一则通知。

南都记者了解到,目前美国还没有关于数据泄露通知的权威性或国家级法律,网络违规事件通报工作主要遵循法律中的一些碎片化方针,具体要求也随司法管辖区的不同而存在巨大差异。

据支付合规小组PaymentGeeks对美国各州数据泄露法律法规截至2021年7月的总结,所有州都要求数据实体向受影响的居民进行纸质和电子通报,部分州具体规定了电话、传真、邮件、媒体报道等方式进行通知,并提醒用户修改密码和安全验证问题。

日本46万信息U盘丢失,官员道歉,各国如何通知数据泄露?

对美国各州数据泄露通知方式的总结。图自PaymentGeeks

采写:实习生程雨祺 南都记者蒋琳

随便看看
本类推荐
本类排行
热门标签

劳动者 交通事故 用人单位 劳动合同 债务人 协议 自诉 房屋 北京征地拆迁律师事务所前十名 土地 补偿费 案件 债务 离婚协议书 公司 债权人 合同 甲方 最低工资标准 刑事案件 交通 车祸 工资 补助费 债权 伤残 程序 鉴定 条件 打官司 北京十大刑事律师事务所排名搜狐 拆迁人 期限 兵法 标准 找律师可靠吗 交通肇事 解除劳动合同 财产 补偿金