近期,Facebook股票经历了2015年8月以来的最大跌幅,起因是Facebook高达5000万用户的数据被第三方机构非法获取。因此,对个人数据泄漏的防范显得尤为重要。欧盟《一般数据保护条例》(GDPR)规定了相关方就个人数据泄漏所负有的通知主管机构和告知数据主体的强制义务。GDPR将于2018年5月25日起开始生效。违反GDPR的机构可能会面临高达1000万欧元或征收2%全球营业额的处罚,被要求赔偿损失,且可能由于该等违规行为影响其在业界的声誉。修改的《关于个人数据泄漏通知的指引》(“指引”)要求数据相关方在个人数据泄漏时,采取符合GDPR规定要求的通知和告知行为。
1 GDPR项下个人数据泄漏的通知和告知要求
数据控制者(即决定个人数据处理目的和方式的机构)必须(i)在“知悉”个人数据泄漏后72小时内通知监管机构,并且(ii)不无故迟延地向数据主体告知个人数据泄漏情况。与此同时,GDPR还要求数据处理者(即代表客户处理个人数据的第三方服务提供商)在“知悉”个人数据泄露之后,应不无故迟延地告知数据控制者。就个人数据泄漏通知监管机构的法律责任仍继续由数据控制者承担。
当个人数据发生泄漏时,数据控制者应立即确认个人数据泄漏的发生,并采取适当的技术保护措施以避免或控制泄漏事件的影响,例如个人数据加密、确保处理系统(例如数据存储工具)具有弹性、在事件发生后及时恢复数据的可用性和获取个人数据的途径以及定期测试所采用的安全系统。
2 个人数据泄漏
个人数据泄漏属于信息安全事件,根据指引规定可能会出现以下几类情形:(i)“机密性泄漏”,即未获授权披露或意外披露个人数据或未经授权访问该等数据;(ii)“完整性泄漏”,即未获授权或意外更改个人数据;(iii)“可用性泄漏”,即在意外或未获授权的情况下无法访问个人数据或者销毁该等个人数据。
例如,根据指引规定,当数据控制者无法恢复对数据的访问时,丢失用以访问加密个人数据的解密密钥便属于一种“可用性泄漏”。因此,数据控制者必须通知监管机构。又例如,因感染勒索软件而暂时失去数据的可用性可能导致第三方未经授权访问个人数据,然后导致“机密性泄漏”(若对数据的访问仍可恢复则不构成可用性泄漏)。此种情形下数据控制者也必须及时通知监管机构。
3 “知悉”个人数据泄漏
根据指引的规定,当数据控制者对发生了危及个人数据的安全事件有合理程度的确信时,数据控制者就变得“知悉”个人数据的泄漏。数据控制者有义务确保其将立即“知悉”个人数据的泄露,以便其能够迅速采取行动。评估数据控制者何时“知悉”个人数据的泄漏应当根据个案具体分析。
例如,如果一个包含未加密个人数据的USB密钥丢失,则根据指引的规定,当数据控制者得知USB丢失时就变得“知悉”个人数据的泄露。即便数据控制者无法评估未授权之人是否已经获得个人数据,数据控制者也应“知悉”个人数据发生泄露。
为提高及时“知悉”的机会并确保采取适当行动以封锁个人数据的泄露,数据控制者可以提前确定在机构内谁负有管理个人数据泄漏的运营责任。
即便数据控制者对个人数据泄漏未掌握所有必要信息,这也并不能豁免数据控制者应履行的通知义务。这很可能发生在更复杂的泄漏事件中(比如网络安全事件),在这些事件中可能需要进行调查才能确定泄漏的性质和程度。在此情形下,数据控制者应通知监管机构,其将在相关信息可得时立即向监管机构提供所需的信息。
4 个人数据泄漏对自然人权利和自由的风险
根据指引的规定,个人数据泄漏对自然人权利和自由的风险是数据控制者应通知监管机构和告知数据主体的一项主要触发事件,前提是:
(i)若泄漏“不太可能导致对自然人权利和自由的风险”,则根据指引的规定,数据控制者无需根据GDPR通知监管机构;并且(ii)当数据泄漏可能导致对相关自然人的权利和自由产生高风险的时候,数据控制者必须向数据主体告知个人数据的泄漏。当个人数据的泄漏可能会对相关自然人带来身体的、重大或非重大的损害时,则视为存在对其权利和自由的高风险。
举例而言,歧视、身份盗用或欺诈、经济损失或名誉受损可能是对个人权利和自由的高风险。披露有关种族或族裔出身、政治观点、宗教或基金数据的数据也可能会对个人造成损害。
因此,数据控制者应该在“知悉”个人数据泄漏之后立即对个人数据泄露造成的风险进行评估。这也将帮助数据控制者采取有效的步骤来封锁个人数据的泄露。
5 欧盟跨境数据泄漏
数据控制者必须向所谓的主导监督机构(即数据控制者拥有主要或单独办事地点的所在成员国的监管机构)通知跨境数据泄漏事件。主导监督机构并不一定是受影响的数据主体所在成员国的监管机构,也并不一定是个人数据泄露发生所在地的成员国的监管机构。
6 非欧盟数据控制者
针对在欧盟未设有运营基地的运营商,在其向位于欧盟的个人提供商品或服务,或监测该等个人的行为时,GDPR也对其适用。
7 eIDAS规定及NIS指令项下的通知义务
除了GDPR项下规定的通知和告知义务之外,以下文件也进一步规定了相关通知义务:
(1)《电子身份识别和信托服务规定》(eIDAS规定)(第910/2014号)。根据eIDAS规定,电子信托服务提供商(创建和验证电子签名以及认证签字人的证书提供商)必须通知其监管机构违反安全性或丧失信息完整性的个人数据泄漏,且该等泄漏对其所提供的信托服务或通过信托服务所维护的个人数据有重大影响。
(2)《网络与信息安全指令》(NIS指令)(第1148/2016号)。根据NIS指令,重要服务的运营商(对社会团体有显著影响的服务提供商,例如银行、能源、交通和健康部门的服务提供商)以及数据服务的提供商(提供诸如电子商务、在线搜索引擎和云服务的线上服务提供商)必须将安全事件通知其监管机构。NIS指令规定了重要服务的运营商负有采取技术措施和组织措施以处理对网络和信息系统安全产生的风险的一般义务。NIS指令必须在2018年5月9日之前由欧盟成员国执行。
