首先应立即启动事故响应流程:隔离受影响实例、阻断攻击通道、保存现场证据(包括系统日志、访问记录、快照等)。同时通知云服务商(阿里云香港)请求协助并获取云端日志副本。为了满足合规与后续取证需求,要在不改变原始证据的前提下做只读备份,记录操作链路与时间戳,确保证据保全的完整性。必要时应先临时下线受影响服务以避免更多用户数据泄露,并在法律顾问指导下与执法机关沟通是否报案。
判断依据包括是否存在未经授权的访问、拷贝、篡改或公开披露能识别个人身份的信息。评估应覆盖数据类别(姓名、身份证号、联系方式、财务信息等)、暴露规模、敏感性与可能造成的风险。香港《个人资料(私隐)条例》(PDPO)对个人资料保护有通用要求;若受影响数据涉及境外用户或中国大陆/欧盟用户,还应考虑《个人信息保护法》(PIPL)与GDPR的通知与跨境传输义务。合规判断应由法务与数据保护官(DPO)结合技术团队的风险评估进行。
在香港,PDPO未设定严格的强制性数据泄露通报时间,但要求数据使用者采取合理措施防止及应对资料私隐侵害。对于在其他司法辖区(如欧盟或中国大陆)有法定义务的企业,应遵守当地强制通报时限(例如GDPR通常为72小时)。建议立即启动内部评估,若存在高风险影响用户权益,应尽快向受影响用户与监管机构通报。
通知应包含事件概述、受影响数据类型、可能影响的用户范围、已经采取和计划采取的补救措施、用户应采取的自我保护建议及联络方式。文本应简明、避免法律模糊性,并由法务审核后发布。必要时提供信用监控或身份保护服务。
首先保存云端与本地日志、快照和网络流量记录,确保使用只读快照或导出副本以避免篡改。与阿里云沟通索取更详细的宿主机与网络层日志,记录所有请求的编号与时间节点。对证据链(chain of custody)做书面记录,说明谁何时以何方式访问或复制了证据。
接到执法要求时,核实公文真伪并在法律顾问陪同下响应。对于跨境执法或数据请求,注意适用的法律程序(如MLAT或司法协助)及数据出口限制,避免擅自将受保护数据传输至无相应法律保障的境外司法区。
遇到复杂攻击建议委托第三方数字取证机构进行独立调查,取证报告应具备法庭证明力并保存原始数据散列值(hash),以便日后法律程序使用。
在合规层面,应完善数据分类与最小化策略、更新数据保留与删除政策、签订明确的云服务合同(包含数据处理方责任、通知义务与日志保留时长),并建立或更新事件响应与用户通知流程,定期进行合规演练。在技术层面,建议对敏感用户数据进行端到端加密、启用多因素认证与最小权限管理、部署WAF与DDoS防护、定期漏洞扫描与渗透测试、使用密钥管理服务(KMS)并保持日志集中化与长期保存以便审计。