前言】《通用數據保護條例》(GDPR) 是迄今為止覆蓋面最廣的全球性數據隱私保護法規,其於2016年4月15日在歐洲議會通過,並已於 2018 年 5 月 25 日琥生效。根據該法案,任何處理歐洲公民個人數據的組織都必須遵守該條例,而不合規的企業,可能面臨高達 2000 萬歐元或 4% 年營業額的罰款。以下為筆者根據GDRP的規定,經綜合整理而形成的系列解讀文章,今天是第五篇::
1)
2)
3)
4)
5)數據洩露及其處理
數據洩露及其處理
一、數據洩露的定義
在《通用數據保護條例》(GDPR)第4條第(1)款中,歐盟將"個人數據"定義為與確定的可識別的自然人相關的任何信息。這與美國法律中將個人數據定義為"姓名加上賬戶號碼或密碼"相比,進一步擴展了受保護的個人數據的範圍。
關於數據洩露,GDPR在第4條第(12)款將之定義為"違反安全規定導致所傳輸、儲存或以其他方式處理的個人數據遭受意外或非法破壞、丟失、變更、未經授權的披露或訪問。"
二、數據洩露發生前的預案與準備
1、 提前製作數據洩露通知規則與程序
GDPR要求(立法說明88),數據控制者應提前制定相關細則、有關格式和程序,以適用於個人數據洩露時的通知。同時數據控制者還應適當考慮違約的情況,包括個人數據是否被適當的採取了技術保護措施,是否能有效地限制了身份欺詐或其他形式的濫用的可能性。
此外,這些規則和程序應考慮到監管當局的法律職能,因為過早的通知與披露有可能也會不必要地妨礙執法部門對個人資料洩露原因與責任的調查。
2、數據洩露應對預案
鑑於數據洩漏發生後,通知監管機構和數據主體的時間有限,各組織機構應做好內部數據洩露應對計劃,列明在發生數據洩露時須採取的行動,計劃應包括有內部和外部主要聯繫人、檢查清單和後續措施等內容。全球性組織機構還應該考慮設立區級、地級數據洩露應對小組,小組成員可包括外部法律顧問、計算機取證員、公關專家等外部專家。
三、數據洩露發生後的處理
GDPR要求(立法說明87),發現數據可能洩露後,數據控制者應查明是否已經採取了所有適當的技術保護和組織措施,並儘快確定是否發生了個人數據的洩露(這在實務中往往會花費一段時間),並迅速通知監管當局和數據當事人。
1、及時通知監管機構
GDPR立法說明85指出,如果個人數據洩露不能被及時處理,將會導致自然人身體、物質或非物質損害,例如喪失對其個人資料控制權受到限制、歧視、身份盜竊或欺詐、財務損失、未經授權的使用假證、損害名譽、因職業保密而受到保護的個人資料洩露或任何其他重大經濟或社會不利因素。
因此在個人數據洩露的情況下,控制者應毫不延誤地,且在可行的情況下 應至少在獲知之時起72 小時以內,通知監督機構(除非個人數據的洩露不會產生危及自然人權利和自由的風險)。如果通知遲於 72 小時的,則必須附述遲延通知原因。
同時,根據GDPR第33條第(3)款,通知內容至少應當包括:
(1)數據洩露性質描述,具體包括在可能獲取的涉事主體類別和大致數目,以及所涉個人數據記錄的類別和大致數目;
(2)數據保護負責人或其他能夠提供更多信息的聯絡點的名稱及聯繫方式;
(3)數據洩露潛在後果描述;
(4)數據控制者為處理數據洩露而採取或擬採取的措施的描述,包括在適當的情況下緩釋數據洩露導致的潛在不利影響的措施。
2、及時通知數據主體
GDPR立法說明86指出,當個人數據洩露可能對自然人權利和自由形成很高的風險時,為使數據主體能採取必要的預防措施,控制者應當毫不延誤地就個人數據的洩露與數據主體進行溝通,包括向數據主體告知有關個人數據洩露的相關信息。數據控制者與處理者與數據主體間的溝通,應詳細描述個人數據洩露的性質以及對數據主體必要的建議,以減輕對數據主體潛在的負面影響。
GDPR要求,與數據主體的交流應在合理可行的情況下儘快進行,並與監管機構密切合作,尊重監管機構提供的指導或執法部門等其他相關部門的指導。
3、通知的例外
根據GDPR,存在以下情形時,數據洩露通知可以有條件豁免:
(1)根據數據洩露性質或因為數據控制者隨後採取了適當的措施,數據洩露不太可能對受影響數據主體的權利和自由構成重大危險;
(2)適當的技術性和組織性措施已經實施,且已作用於受影響的個人數據;
(3)通知成本耗費過於巨大。在這種情況下,數據控制者有義務通過大眾傳媒或類似渠道通知數據主體。但如果數據控制者可以包括電子郵件在內等的電子形式與數據主體取得聯繫,則數據控制者不得認定其屬於耗費巨大的情況。
關於數據洩露的通知,GDPR強調,數據控制者應考慮到洩露個人資料的性質和嚴重性,以及其對資料當事人的後果和不利影響,不得無故拖延作出上述通知。監管當局屆時將會根據GDPR規定的任務和權力進行必要的干預。
4、防止數據洩露的進一步擴大
最後,為最大的減輕數據洩露帶來的風險,GDPR要求,數據控制者與處理者除及時地與數據主體進行溝通外,還應採取適當的措施,防止持續的或類似的其他方式的個人數據洩露。該措施需要數據控制者和處理者花費更多的時間。
作者∣陳德志 律師,錦天城律所資深律師,上海市律師協會證券業務研究委委員,從事法律行業十餘年,主要執業領域為:資本市場、併購重組、投資融資、企業合規建設與建議。
上海錦天城法律實習生孫清對本文亦有幫助。
閱讀更多 百律 的文章
