2019年8月14日,爱尔兰数据保护委员会发布了《个人数据泄露指南》,旨在帮助数据控制者更好地理解欧盟《通用数据保护条例》GDPR中的数据泄露通知要求。

什么是个人数据泄露?

个人数据泄露是指违反个人数据保护措施,导致意外或非法损毁、遗失、更改、未经授权披露或查阅个人数据。“个人数据”一词指的是任何关于已识别或可识别个人的数据。个人数据遭到泄露的事件包括两种原因造成的事件(例如向错误的收件人发送电子邮件),以及蓄意的行为(例如为获取客户资料而进行的钓鱼攻击)。

个人数据泄露是指对个人数据的保密性、完整性或可用性产生负面影响的事件,个人数据被遗失、销毁、损毁或非法披露包括有人未经正当授权访问或传输个人数据,个人数据通过勒索软件被加密、意外丢失、销毁而变得不可用等等。

根据GDPR,数据控制者应当何时向爱尔兰数据保护委员会通知个人数据泄露事件?

数据控制者有义务将所有已经发生的个人数据泄露情况通知爱尔兰数据保护委员会,除非控制者能够证明个人数据泄露行为“不太可能对数据主体的权利和自由构成风险”。数据控制者还应当就“个人数据泄露行为不太可能对数据主体的权利和自由构成风险”的结论进行详细说明。在所有情况下,无论是系统漏洞,还是不通知爱尔兰数据保护委员会的行为,控制者必须记录基本细节,对风险和影响进行评估,还要根据GDPR第33条第(5)款采取相应的步骤。

如果数据控制者知悉存在个人数据泄露的情况且可能会对数据主体的权利和自由带来任何风险,那么控制者必须“不加延迟”地通知爱尔兰数据保护委员会;在可行的情况下,应当在不迟于控制者知悉情况后的72小时内进行通知。当数据控制者有合理把握已经发生泄漏事故及个人数据受到损害时,便应当视为“知悉”。

为履行GDPR第5条第(2)款的责任原则所规定的义务,以及根据第33条第(5)款规定的记录有关信息的要求,控制者应当向爱尔兰数据保护委员会证明他们知悉个人数据泄露的时间和渠道。爱尔兰数据保护委员会建议,数据控制者应当在其内部程序内,设立一套系统,记录其知悉个人数据泄露的时间和渠道,以及评估泄露构成潜在风险的方式。

向爱尔兰数据保护委员会发出的通知书应当包含哪些内容?

数据控制者向爱尔兰数据保护委员会发出的个人数据泄露通知书至少应包含以下内容:

  • 个人数据的性质,涉及到的当事人范围、数量,以及有关的个人数据的种类和数量;

  • 数据保护专员或获得更多信息的联系人的姓名及联系资料;

  • 个人数据泄露可能产生的后果;

  • 数据控制者为处理个人数据泄露事件所采取或拟采取的措施,包括在适当情况下为减轻其可能带来的不利影响而采取的措施;

如果不能同时提供所有所需资料,那么数据控制者可以分阶段提供相关信息,但是不能造成不必要的进一步延误。

数据控制者应当何时将个人数据泄露情况告知数据主体?

如果个人数据泄露行为“可能对自然人的权利和自由构成高风险”,那么数据控制者也有义务“不加延迟”地与数据主体沟通有关个人数据泄露的情况。如有需要,应当与爱尔兰数据保护委员会密切合作,按照爱尔兰数据保护委员会或其他有关机构(如执法机关)所提供的指引毫不迟延地与数据主体联系。这项规定的目的是确保数据主体在发生可能对他们造成较高风险的事件时可以采取必要的预防措施。

在下列情况下,数据控制者无需向数据主体传达所有信息,即使个人数据泄露可能会“对自然人的权利和自由带来较高风险”:

  • 数据控制者已经采取了适当的技术和组织措施,而这些措施已经适用于受个人数据泄露影响的个人数据,例如加密;

  • 数据控制者已经采取后续措施,确保不会再出现对数据主体权利和自由带来较高风险的情况;

  • 会造成不成比例的努力,但在这种情况下,数据控制者应当通过公开通讯或类似措施确保以同样有效的方式通知数据主体。

与数据主体的通讯方式包括什么?

向受影响的数据主体通知个人数据泄露情况时,应说明个人数据泄露的性质,并建议有关数据主体减轻潜在不利影响的措施。在于数据主体联系中,应以清晰明白的语言描述个人数据泄露情况,并应通知以下事项:

  • 数据保护专员或获得更多信息的联系人的姓名及联系资料(other contact point where more information can be obtained);

  • 个人数据泄露可能产生的后果;

  • 数据控制者解决问题减轻影响的措施。

即使评估的个人数据泄露产生的风险并不高,但数据控制者也可以向数据主体通知相关事项。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。