十國(guó)/地區(qū)數(shù)據(jù)保護(hù)法十大合規(guī)要點(diǎn)對(duì)比 | #7 發(fā)生安全事件時(shí)數(shù)據(jù)泄露通知的要求
2021-09-30
來(lái)源:數(shù)字科技說(shuō)
第七部分:發(fā)生安全事件時(shí)數(shù)據(jù)泄露通知的要求
數(shù)據(jù)泄露通知?jiǎng)t是指當(dāng)發(fā)生個(gè)人數(shù)據(jù)泄露安全事件時(shí)候,個(gè)人信息的控制者與處理者需要就泄露事件向不同的主體發(fā)出通知和報(bào)告的義務(wù)。
數(shù)據(jù)泄露無(wú)小事,它總是不可避免地發(fā)生在日常業(yè)務(wù)運(yùn)營(yíng)的過程中,一旦出現(xiàn)數(shù)據(jù)泄露等不同類型的安全事件時(shí),將會(huì)對(duì)個(gè)人信息主體造成不同程度的危害和影響。造成數(shù)據(jù)泄露的原因紛繁復(fù)雜,例如網(wǎng)絡(luò)運(yùn)營(yíng)者自身的系統(tǒng)漏洞、沒有及時(shí)更新技術(shù)措施、黑客的故意攻擊、內(nèi)部管理人員的不法操作或故意泄露等等,難以進(jìn)行完全的消除與遏制。
因此,不同地區(qū)和國(guó)家的數(shù)據(jù)保護(hù)法律通過在立法中確定“數(shù)據(jù)泄露通知制度”以加強(qiáng)對(duì)數(shù)據(jù)泄露的管理,通過及時(shí)采取有效措施和控制損害范圍的擴(kuò)大,來(lái)有效保障數(shù)據(jù)主體權(quán)益。
?。ㄒ唬┪覈?guó)個(gè)人信息保護(hù)法解讀:
GDPR第33和34條規(guī)定了在發(fā)生個(gè)人數(shù)據(jù)泄露的情形時(shí),數(shù)據(jù)控制者通知監(jiān)管機(jī)構(gòu)和受影響數(shù)據(jù)主體的要求,強(qiáng)制要求數(shù)據(jù)控制者應(yīng)當(dāng)在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時(shí)內(nèi)將個(gè)人數(shù)據(jù)泄露的情況報(bào)告監(jiān)管機(jī)構(gòu),除非個(gè)人數(shù)據(jù)泄露不太可能會(huì)對(duì)自然人的權(quán)利和自由造成風(fēng)險(xiǎn)。如果數(shù)據(jù)泄露可能對(duì)自然人的權(quán)利和自由產(chǎn)生較高風(fēng)險(xiǎn),數(shù)據(jù)控制者還應(yīng)當(dāng)立即將個(gè)人數(shù)據(jù)泄露的情況通知數(shù)據(jù)主體。
我國(guó)個(gè)保法在參考和借鑒海外數(shù)據(jù)保護(hù)立法的基礎(chǔ)上,亦通過明確的法律規(guī)定,對(duì)數(shù)據(jù)泄露通知作出具體的要求:
1 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務(wù)的情況
個(gè)保法要求,個(gè)人信息處理者在發(fā)生或者可能發(fā)生(1)個(gè)人信息泄露;(2)個(gè)人信息被篡改;(3)個(gè)人信息丟失的情況下,需要履行數(shù)據(jù)泄露通知的義務(wù)。
從目前的規(guī)定來(lái)看,觸發(fā)數(shù)據(jù)泄露通知的情形主要在兩大點(diǎn):
01
一是,只要是個(gè)人信息遭受了泄露等情形的,不管該等個(gè)人信息是否是敏感類型的個(gè)人信息、還是一般的個(gè)人信息,都可能需要啟動(dòng)到數(shù)據(jù)泄露通知制度;
02
二是,明確了觸發(fā)通知的具體場(chǎng)景,包括遭遇泄露、被篡改以及丟失的情況。個(gè)保法沒有就具體遭遇泄露的個(gè)人信息的數(shù)量進(jìn)行規(guī)定,可以看出,其不以“數(shù)量的多少”來(lái)判定是否需要啟動(dòng)數(shù)據(jù)泄露通知制度,而是以是否確實(shí)“發(fā)生了泄露、篡改和丟失”的實(shí)質(zhì)情況,以及是否“對(duì)數(shù)據(jù)主體造成危害的”定性上作為啟動(dòng)數(shù)據(jù)泄露通知制度的主要判定基準(zhǔn)。
2 明確了履行數(shù)據(jù)泄露通知義務(wù)的主體
與GDPR類似,在我國(guó)個(gè)保法的立法語(yǔ)境下,要求“個(gè)人信息處理者”承擔(dān)數(shù)據(jù)泄露通知的義務(wù),即,有權(quán)并能自主決定個(gè)人數(shù)據(jù)處理的目的、方式的企業(yè)、組織和個(gè)人都會(huì)成為履行數(shù)據(jù)泄露通知的義務(wù)主體。
3 明確了數(shù)據(jù)泄露需要通知的對(duì)象
參考海外數(shù)據(jù)立法經(jīng)驗(yàn),我國(guó)個(gè)保法也對(duì)被通知的對(duì)象分為兩類主體:
01
數(shù)據(jù)監(jiān)管部門:履行個(gè)人信息保護(hù)職責(zé)的部門
02
數(shù)據(jù)主體本身:個(gè)人用戶。
但是,我國(guó)個(gè)保法沒有像部分海外數(shù)據(jù)法律的規(guī)定一樣,以數(shù)據(jù)泄露事件的數(shù)量與規(guī)模作為是否通知數(shù)據(jù)監(jiān)管部門的判斷基礎(chǔ),而是明確規(guī)定了,只要發(fā)生或可能發(fā)生個(gè)人信息泄露、篡改、丟失的情況下,個(gè)人信息處理者都應(yīng)當(dāng)通知履行個(gè)人信息保護(hù)職責(zé)的監(jiān)管部門。鑒于我國(guó)目前在個(gè)人信息監(jiān)管方面仍處于多頭監(jiān)管的狀態(tài),在通知數(shù)據(jù)監(jiān)管部門的要求及范圍等方面,仍期待接下來(lái)的司法解釋、政策指南給出更多的指導(dǎo)規(guī)定。
關(guān)于是否需要通知到“個(gè)人信息主體”,我國(guó)個(gè)保法也提供了一定的豁免情形。如果個(gè)人信息處理者能夠及時(shí)立即地采取措施,并能夠有效避免信息泄露、篡改、丟失所造成的危害的話,則發(fā)生了數(shù)據(jù)泄露事件的個(gè)人信息處理者可以不通知到個(gè)人信息主體。但請(qǐng)注意,個(gè)保法對(duì)于“選擇不通知”的豁免是規(guī)定了比較嚴(yán)格的條件的,既要求個(gè)人信息處理者需要“立即”采取措施,也要求該等措施是能夠“有效避免”對(duì)個(gè)人信息主體的危害的。
同時(shí),還對(duì)“選擇不通知”的豁免給出了限制條件,即當(dāng)履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為數(shù)據(jù)泄露事件可能造成危害的,則對(duì)應(yīng)的數(shù)據(jù)監(jiān)管部門有權(quán)要求個(gè)人信息處理者通知到個(gè)人。
4 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務(wù)的情況
確認(rèn)了是否啟動(dòng)數(shù)據(jù)泄露通知后,關(guān)于通知中應(yīng)當(dāng)包含哪些具體的內(nèi)容,也是通知制度中的關(guān)鍵部分。我國(guó)個(gè)保法對(duì)此也作出了明確的規(guī)定,通知應(yīng)當(dāng)包括:
01
發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類;
02
發(fā)生的原因;
03
本事件可能造成的危害;
04
個(gè)人信息處理者采取的補(bǔ)救措施;
05
個(gè)人可以采取的減輕危害的措施;
06
個(gè)人信息處理者的聯(lián)系方式。
05 通知時(shí)間的限制要求
海外部分較發(fā)達(dá)地區(qū)的數(shù)據(jù)保護(hù)法律對(duì)數(shù)據(jù)泄露通知的形式、時(shí)間以及通知程序作出明確的規(guī)定。目前,我國(guó)個(gè)保法中,在通知的時(shí)間要求上并沒有例如“72小時(shí)”或者“兩個(gè)工作日”的規(guī)定,而是采取“立即采取補(bǔ)救措施”+“及時(shí)通知”的要求。
企業(yè)在發(fā)生數(shù)據(jù)泄露事件后,在執(zhí)行通知的形式、時(shí)間和流程上的具體要求,也需要接下來(lái)進(jìn)一步的司法解釋、指南和標(biāo)準(zhǔn)來(lái)進(jìn)行闡明,為企業(yè)提供更加具體的實(shí)操指示。
(二) 海外主要個(gè)人信息保護(hù)法律對(duì)比: