【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。
以下是專家認為的最有效的十項應對GDPR的行動方案:
1)
2)
3)
4)
5)
6)
7)
8) 數據洩漏及其響應計劃
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
本文是這個系列的第八部分,主要介紹GDPR如何解決數據洩露問題。
數據洩露及其響應計劃
(Data breach and the GDPR)
一、數據洩露基礎知識
安全事故是常見的。也許有人離開時未關門或將敏感文件遺留在了桌上。然而,安全事故能否上升到"數據洩露"的程度,這是一個法律問題。
GDPR中"數據漏洞"的定義比美國許多州的法律規定寬泛的多。
GDPR第4條第(12)款將個人數據洩露定義為"違反安全,導致意外或非法破壞、損失、變更、未經授權的披露或獲取、傳送、儲存或以其他方式處理的個人資料。"
與之對比,許多美國安全漏洞法律將"個人身份信息"定義為姓名加上賬戶號碼或密碼,因為有這些信息就能發生欺詐或身份盜竊。但GDPR的第4條將"個人資料"定義為"任何與身份確認或可識別的自然人有關的信息"。
試圖將數據洩露風險降到最低的組織應該考慮三個步驟:
(1)計劃檢測和控制事件;
(2)違反規定的步驟(包括必要的通知);和
(3)網絡保險。
二、數據洩露後的響應
與所有的處理活動一樣,響應的第一步是瞭解組織通過數據映射和清點所得到的數據。許多GDPR條款規定了控制者對洩露事件的響應,因此控制者必須對擁有的數據有一個準確的描述。事實上,正如下面所討論的,數據主體通知將對數據主體的權利和自由的風險進行評估,不僅需要了解數據類別,還需要了解特定的數據。
通過數據安全保護措施來避免發生數據洩露雖然不是這篇文章的主題,但是對於數據洩露處理十分重要。
GDPR要求控制者和處理者根據數據主體的權利和自由所面臨的風險確定執行的技術和操作安全措施。鼓勵使用諸如匿名化和數據加密 之類的技術安全措施,但僅此還不足以符合要求;第32條也要求控制者適當地實施"組織措施"。這些措施包括《數據洩露響應計劃》,該計劃建議是與信息安全團隊、隱私領導、風險管理、合規人員、公司管理層工共同起草。
一份好的響應計劃必須包含發生潛在數據洩露後應該向誰報告。公司的法律代表和高級管理層應當注意潛在危險,以便統一對外口徑。公司還應確保洩露響應計劃包括處理措施。監管機構要求在第33條規定的72小時的違約通知期間給控制者一份簡短清單,以便於控制者在危機發生時遵守法規(下文將詳細介紹)。
組織可以內部培訓司法調查和安全保護能力,但某些情況下組織可能需要對某些安全事件進行外包調查。啟用外部法律顧問監督調查可能為某些調查部門提供法律特權,因此洩露響應計劃應包括聘請合格的能在需要時提供幫助的律師。
一些專家建議,將負責數據安全的人員與司法調查的人員分開,這樣任何需要進行取證分析的事件都能公正處理。這可能意味著較大的組織要建立一個獨立的全職數據取證團隊,而較小的組織卻希望在發生安全事件時提前識別外部數據取證提供者。
對於缺乏內部取證團隊的公司或選擇外部供應商的公司,洩露響應計劃應事先確定進行調查的供應商,包括外部法律顧問。網絡責任和數據洩露保險政策通常包括專家組,如果公司的內部資源缺乏,專家組可以幫助組織進行取證、公共關係和其他危機管理。
為洩露做好準備也是至關重要的。許多數據安全專家建議,在個人數據洩露時,以相關的技術人員和高級別的管理層作為目標,進行桌面漏洞模擬。畢竟,72小時的通知時間是有限的。
三、數據洩露後的響應和通知
當安全事故被發現或報告時,DPO應當第一時間得到信息。事故發生後最關鍵的第一步是控制事件,對事故範圍、起源進行調查,並最終確定它是否構成"洩露"。之前進行的有效的隱私管理(包括培訓) 在這裡得到回報:所有員工都應該知道什麼是可移植的安全問題,並且應該知道發生安全事故時要聯繫誰。通過與適當的人員進行快速溝通來遏制更多的個人數據被濫用,是最優先考慮的事情。
如果安全事故符合GDPR規定的洩露,則組織需要通知相關的監督機構和受影響的數據主體。
作為一項基本規則,立法法案說明第85條和第33條第(1)款規定,個人數據洩露必須向相關監管機構報告,"不延誤"是指"在可行的情況下"不遲於控制器意識到後的72小時內。處理者只需要在發現漏洞時"不過度延遲"通知控制者。
立法法案說明第87條表明,要在事實的基礎上進行調查,確定通知有沒有"不適當的延遲","特別要考慮到個人數據洩露的性質和嚴重性及其後果和對數據主體的不利影響。"
正如上面所提到的,良好的數據洩露響應計劃要包括每個司法轄區的監管機構,以及在任何跨境事件中與"領導"聯繫。計劃還可以幫助起草各種通知草案,以便為未來創建必要的通知提供基礎。有經驗的外部法律顧問可會在通知程序的最後期限內提供幫助。
該條例規定,管制員向監管當局發出的通知包括若干具體信息:
(1)個人數據洩露的性質,包括受影響的數據主體的數量和個人數據的數量;
(2)數據保護官的聯繫方式或其他的聯繫人;
(3)洩露的可能後果;
(4)控制者解決方法的描述,包括緩解措施。
如果控制者能證明漏洞不太可能威脅到自然人的權利和自由,那他們就不會向監管部門報告。"由於任何原因無法在72小時內實現通知,"延遲的原因必須與通知一起。"無論是否通知監管當局,控制者仍必須記錄任何數據洩露事件,記錄"與……有關的事實、其影響及採取的補救行動",當局可能會對這些記錄進行審核。
對於許多隱私專業人士來說,72小時的通知時限是GDPR數據洩露要求中最具挑戰性的部分。當公司"意識到"漏洞時,72小時就已經過去了。第29條工作小組對數據洩露的指導(在這裡更詳細地分析)表明,當控制者"有一定把握確定時,導致個人數據被洩露的安全事件已經發生,"。"這一結論是在事實調查的基礎上做出的,WP29給出了幾個有關"意識"的例子,從控制者發現內含未加密的個人數據的USB丟失(這造成了對可用性的破壞,即使控制器無法確認未授權的人獲得了包含的數據)到一個更直接的例子,網絡罪犯在入侵控制者的系統後索要贖金。第29條工作小組注意到,
在得知潛在的漏洞後,控制器被允許進行"短時間的調查",以確定是否真的發生了洩漏,在此期間,控制器不符合"意識到"的資格。這一期間的狹窄性僅僅是由於"可行性"的限制,許多數據安全專業人士都不願對其進行廣泛的解釋。因此,一些專家認為,應該更新老的數據洩露響應計劃,包括在調查過程的最早期階段,協助安保人員制定基於事實的決定,從而決定是否需要通知。
立法法案說明第86條和GDPR第34條進一步要求各組織在"個人數據洩露可能對自然人的權利和自由造成很大風險"的情況下,通知數據主體。"通訊"應該描述個人數據洩露的本質以及提供降低潛在負面影響的建議。"
對數據主體的數據洩露通知必須包含:
(1)包括數據保護官的聯繫方式,或其他聯繫人;
(2)解釋個人數據洩露可能造成的後果;
(3)描述控制者如何處理數據洩露,包括緩解措施。
GDPR的透明度要求對數據主體的通信也必須是"清晰而簡單的語言"。若能顯示下列任何一項,則控制者不需要通知數據主體:
(1)該控制者已經實施了適當的技術和組織保護措施,這些措施適用於個人數據洩露所影響的個人數據,特別是那些特殊數據,比如加密數據。
(2)該控制者採取了後續措施,以確保數據主體的權利和自由面臨的高風險不再可能成為現實。
這將涉及不成比例的努力。在這種情況下,應當採用一種公共通信或類似措施,使數據主體以同樣有效的方式獲得信息。第29條工作小組關在數據洩露問題的指導意見中提供了有關安全事故的例子,以幫助公司進行記錄。控制者還應注意到,即使公司已經確定了其中的一個例外情況,監管當局仍有權獨立決定是否將洩露的數據告知數據主體。
最後,根據立法法案說明第73條的規定,成員國法律可能會對數據洩露做出額外更詳細的規定,因此,公司可能會進一步受到制約。根據GDPR第40條,行業協會或其他類似機構也可為特定部門制定行為守則,規定對數據洩露的額外責任。
四、保險
對於那些有巨大潛在責任的組織來說,數據洩露保險是有效數據洩露響應計劃中的關鍵部分。大多數的公司責任保險政策不會覆蓋數據洩露的風險,對於數據密集型的公司來說,司法調查、違反通知、法律建議等帶來的費用是高昂的。確實,據2016年的普華永道報告,網絡保險的市場將在2020年達到75億美元左右。
此外,網絡保險政策通常為公司提供了數據取證專家、外部顧問、專業公關服務以及企業沒有的高成本"危機網絡"。保險政策的覆蓋範圍不同,包括數據洩露責任、計算機和網絡安全責任、媒體責任和身份盜竊。此外,隨著聯網設備的爆炸式增長,出現了新的機遇,從而為它們提供了新的責任政策。
個人數據可能出現的潛在風險造成了組織責任,因此應該仔細審查網絡政策,以覆蓋該組織最有可能面臨的數據風險。
五、結論
數據洩露是現代社會風險中固有的一部分。公司必須認識到,對數據洩露響應計劃的前期投資可能會使企業更從容的面對數據洩露,從而降低組織的風險,也降低了他們處理個人數據的數據對象的風險。
作者∣Lee Matheson,美國俄亥俄州立大學莫里茨法學院應屆畢業生,他曾是俄亥俄州刑法期刊 (Ohio State Journal of CriminalLaw)的一員。Lee在六年級參加完模擬審訊比賽後,就對法律很感興趣。作為一名在校生,Lee在注意到他瀏覽器裡的橫幅廣告的那一刻,就意識到自己將從事數據隱私保護領域。他在丹尼森大學獲得了政治學學士學位。作為一名俄亥俄州的法律系學生,Lee通過暑期在國土安全隱私部門的實習接觸到不同的隱私保護的實踐。Lee是一家精品律所的職員,他是丹尼斯·赫希和達科塔·盧塞德教授的研究助理。在法律領域之外,Lee喜歡打高爾夫球,他是棋盤遊戲的狂熱愛好者。
翻譯∣陳德志律師、孫清律師助理
閱讀更多 百律 的文章
