您的企业或机构是否需要处理个人数据?是否知道在发生数据泄露时该怎么做?并非所有数据泄露情形都是一样的,有些数据泄露可以很快得到补救,对受影响的个人几乎没有风险。然而,有些数据泄露可能会产生更大的影响和严重性,并可能对受影响的数据主体造成负面后果。
然而,无论严重程度如何,每一次数据泄露都需要采取一些补救措施,以满足GDPR (全称为“General Data Protection Regulation”,中文为“《通用数据保护条例》”)的要求并降低对受影响者所造成的损害。在这篇文章中,我们阐述了什么是GDPR规定的 “数据泄露”以及应采取什么样的行动。
什么是 “数据泄露“?
根据GDPR,”数据泄露”被定义为”导致意外或非法的破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据的安全漏洞。”
根据这个广泛的定义,任何个人数据被无意、非法披露或被访问的情况都构成GDPR意义上的 “数据泄露”。常见的例子包括错误地发送含有个人数据的电子邮件或者丢失含有个人数据的笔记本电脑或手机;还包括更严重的违法行为,比如普遍的未经授权访问或丢失敏感的个人数据。
数据泄露的严重程度取决于对受影响者的影响和损害的风险。这里的风险通常包括身份被盗用、声誉受损、财务损失或遭受歧视的风险。例如,如果一封含有非敏感个人数据的电子邮件被错误地发送给组织内的同事,那么数据泄露的影响和风险可能比较有限。如果个人数据在其他方面得到了充分的加密,并且在含有个人数据的笔记本电脑丢失的情况下能够立即将笔记本电脑里的数据清除干净,那么数据泄露的影响和风险也比较有限。
另一方面,如果个人数据包含敏感数据(例如可能导致身份被盗的财务信息),那么数据泄露的影响和风险可能更大、更严重。数据泄露的严重程度对于确定在发生数据泄露时到底该怎么做至关重要。
如何应对数据泄露?
如果你意识到数据泄露或者甚至怀疑可能已经发生了数据泄露,那么确定所需的行动是至关重要的。这可能包括通知相关的隐私监管机构和个人数据被泄露的当事人。
根据GDPR,在意识到数据泄露后,必须在72小时内通知隐私监管机构。然而,并不是每次数据泄露都必须履行通知义务。如果数据泄露不太可能对个人权利和自由产生风险,那么就不需要通知隐私监管机构。如果对是否需要履行通知义务存在疑问,我们还是建议通知隐私监管机构。
在某些情况下,也必须将数据泄露事件告知受影响的个人。如果数据泄露可能导致个人的权利和自由受到高度威胁,则应当告知。其中,必须提供的信息包括数据泄露的性质和为此采取的应对措施。
由于需采取的行动取决于数据泄露的性质和风险/严重程度,公司和组织有适当的应对数据泄露的程序则显得尤为重要,以便有效地:
- 了解发生了什么
- 评估危害的风险
- 确定并执行必要的行动
第一步 了解发生了什么
任何数据泄露的第一步是开始计时。某些数据泄露事件必须在72小时内向监管当局报告。然而,有时可能并不清楚是否应当履行报告义务。因此,在得知数据泄露事件时,开始计时始终是第一件要做的事情。
其次,组织应尽量收集有关数据泄露的信息,包括数据泄露是如何发生的,有多少人参与,以及什么类型的数据受到影响。这个步骤对于确定采取什么行动以应对非常有必要。
在某些情况下,可以立即采取行动。例如,要求非目标收件人删除或归还数据,恢复或备份丢失的数据,远程删除丢失设备上的数据,和/或更改密码等。任何诸如此类的补救措施都应该被采取。此外,建议记录所有的信息、时间表和正在采取的任何行动,以备查证。
第二步 评估造成危害的风险
数据泄露的情形各有不同,因此不是每个数据泄露都需要采取同样的行动。因此,为了确定其严重性以及应采取的必要行动,组织需要进行风险评估,并确定受到数据泄露影响的个人所面临的及潜在的伤害风险。这可以通过衡量以下因素来实现:
- 什么类型的个人数据受到数据泄露事件的影响?
- 有多少人受到泄露事件的影响?
- 谁可以接触到这些个人数据?
- 违规行为会对受影响的人产生什么潜在的影响?
- 是否有补救或减轻影响的措施?
风险评估的关键问题是数据泄露是否会对受影响的个人产生负面影响甚至是伤害。相关问题还包括个人是否是弱势群体,比如儿童,或者受影响的个人是否有遭受经济损失或声誉损害的风险。数据越敏感,或者数据被对手获取或掌握的可能性越高,风险就越大。
第三步 确定并执行必要的措施
如果数据泄露被确定为”无风险”或”非常低的风险”,那么采取缓解或补救措施、更新内部程序和实施新的预防措施以避免未来出现类似或更严重的数据泄露,可能就足够了。如果数据泄露被确定为对受影响的个人构成风险,那么必须在72小时内将数据泄露报告给相关的隐私监管机构。该项法律要求适用于任何对受影响个人构成风险的数据泄露。
其次,对于”高风险”的数据泄露,也必须通知受数据泄露影响的个人。这也是法律要求的,必须毫不延误地执行。遵守这一义务也尤为重要,因为这可以使受影响的个人采取行动保护自己。在通知受影响的个人时,某些信息是必须提供的。
根据数据泄露的具体情形,还可能需要采取其他的行动。因此,必须充分确定可以和应该采取的行动,以及如何执行这些行动。
最后说明
当涉及到数据泄露时,最好采取预防措施。因此,公司和组织应该投入必要的时间和资源来实施防止数据泄露的措施。同时,预防措施还应该包括对员工的培训和在不幸发生数据泄露时需要进行的程序。这不仅使组织能够及时并且有效地应对数据泄露,而且还可以减少应对数据泄露所需的成本和资源,以及减轻与数据泄露相关的执行类风险。
虽然减轻和补救受数据泄露影响者的潜在伤害或风险是重点,但实施应对数据泄露的程序也可以减轻数据泄露对企业或组织本身的负面影响。除了声誉上的损害,数据泄露还会使企业或组织面临隐私监管机构的严厉处罚。如果数据泄露本身是可以合理避免的,那么这些罚款可能会更多。
除此之外,还有管理数据泄露所需的巨大成本和资源、修复受损系统的成本、商业成本以及受影响者的潜在赔偿要求。因此,如果你的企业或组织处理个人数据,那么防止数据泄露应该是你的组织进行GDPR相关合规的一个重要部分。
更多信息
该文章由我所数据隐私保护部门Eveline Smits女士 (es@kneppelhout.nl)、Jan Hendrik Vogelsang先生 (jvo@kneppelhout.nl)、Eline Cleijman女士(ec@kneppelhout.nl) 共同撰写,由我所中国业务部实习生栾金威先生进行翻译。
若您对于欧盟个人数据隐私保护有任何的问题,欢迎联系我们数据隐私保护部门的同事或者我们中国业务部的裴耀博先生(jbz@kneppelhout.nl)、郑琳先生(vz@kneppelhout.nl)、李佩英女士(pl@kneppelhout.nl)。