《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

2021-09-30
来源:数字科技说
关键词: 数据保护法 安全事件

  第七部分:发生安全事件时数据泄露通知的要求

  数据泄露通知则是指当发生个人数据泄露安全事件时候,个人信息的控制者与处理者需要就泄露事件向不同的主体发出通知和报告的义务。

  数据泄露无小事,它总是不可避免地发生在日常业务运营的过程中,一旦出现数据泄露等不同类型的安全事件时,将会对个人信息主体造成不同程度的危害和影响。造成数据泄露的原因纷繁复杂,例如网络运营者自身的系统漏洞、没有及时更新技术措施、黑客的故意攻击、内部管理人员的不法操作或故意泄露等等,难以进行完全的消除与遏制。

  因此,不同地区和国家的数据保护法律通过在立法中确定“数据泄露通知制度”以加强对数据泄露的管理,通过及时采取有效措施和控制损害范围的扩大,来有效保障数据主体权益。

  (一)我国个人信息保护法解读:

  GDPR第33和34条规定了在发生个人数据泄露的情形时,数据控制者通知监管机构和受影响数据主体的要求,强制要求数据控制者应当在发现数据泄露的72小时内将个人数据泄露的情况报告监管机构,除非个人数据泄露不太可能会对自然人的权利和自由造成风险。如果数据泄露可能对自然人的权利和自由产生较高风险,数据控制者还应当立即将个人数据泄露的情况通知数据主体。

  我国个保法在参考和借鉴海外数据保护立法的基础上,亦通过明确的法律规定,对数据泄露通知作出具体的要求:

  1 明确了需要执行数据泄露通知义务的情况

  个保法要求,个人信息处理者在发生或者可能发生(1)个人信息泄露;(2)个人信息被篡改;(3)个人信息丢失的情况下,需要履行数据泄露通知的义务。

  从目前的规定来看,触发数据泄露通知的情形主要在两大点:

  01

  一是,只要是个人信息遭受了泄露等情形的,不管该等个人信息是否是敏感类型的个人信息、还是一般的个人信息,都可能需要启动到数据泄露通知制度;

  02

  二是,明确了触发通知的具体场景,包括遭遇泄露、被篡改以及丢失的情况。个保法没有就具体遭遇泄露的个人信息的数量进行规定,可以看出,其不以“数量的多少”来判定是否需要启动数据泄露通知制度,而是以是否确实“发生了泄露、篡改和丢失”的实质情况,以及是否“对数据主体造成危害的”定性上作为启动数据泄露通知制度的主要判定基准。

  2 明确了履行数据泄露通知义务的主体

  与GDPR类似,在我国个保法的立法语境下,要求“个人信息处理者”承担数据泄露通知的义务,即,有权并能自主决定个人数据处理的目的、方式的企业、组织和个人都会成为履行数据泄露通知的义务主体。

  3 明确了数据泄露需要通知的对象

  参考海外数据立法经验,我国个保法也对被通知的对象分为两类主体:

  01

  数据监管部门:履行个人信息保护职责的部门

  02

  数据主体本身:个人用户。

  但是,我国个保法没有像部分海外数据法律的规定一样,以数据泄露事件的数量与规模作为是否通知数据监管部门的判断基础,而是明确规定了,只要发生或可能发生个人信息泄露、篡改、丢失的情况下,个人信息处理者都应当通知履行个人信息保护职责的监管部门。鉴于我国目前在个人信息监管方面仍处于多头监管的状态,在通知数据监管部门的要求及范围等方面,仍期待接下来的司法解释、政策指南给出更多的指导规定。

  关于是否需要通知到“个人信息主体”,我国个保法也提供了一定的豁免情形。如果个人信息处理者能够及时立即地采取措施,并能够有效避免信息泄露、篡改、丢失所造成的危害的话,则发生了数据泄露事件的个人信息处理者可以不通知到个人信息主体。但请注意,个保法对于“选择不通知”的豁免是规定了比较严格的条件的,既要求个人信息处理者需要“立即”采取措施,也要求该等措施是能够“有效避免”对个人信息主体的危害的。

  同时,还对“选择不通知”的豁免给出了限制条件,即当履行个人信息保护职责的部门认为数据泄露事件可能造成危害的,则对应的数据监管部门有权要求个人信息处理者通知到个人。

  4 明确了需要执行数据泄露通知义务的情况

  确认了是否启动数据泄露通知后,关于通知中应当包含哪些具体的内容,也是通知制度中的关键部分。我国个保法对此也作出了明确的规定,通知应当包括:

  01

  发生或者可能发生个人信息泄露、篡改、丢失的信息种类;

  02

  发生的原因;

  03

  本事件可能造成的危害;

  04

  个人信息处理者采取的补救措施;

  05

  个人可以采取的减轻危害的措施;

  06

  个人信息处理者的联系方式。

  05 通知时间的限制要求

  海外部分较发达地区的数据保护法律对数据泄露通知的形式、时间以及通知程序作出明确的规定。目前,我国个保法中,在通知的时间要求上并没有例如“72小时”或者“两个工作日”的规定,而是采取“立即采取补救措施”+“及时通知”的要求。

  企业在发生数据泄露事件后,在执行通知的形式、时间和流程上的具体要求,也需要接下来进一步的司法解释、指南和标准来进行阐明,为企业提供更加具体的实操指示。

(二) 海外主要个人信息保护法律对比:




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容