爱尔兰发布《GDPR下的个人数据泄露通知实用指南》

2019年10月22日，爱尔兰数据保护委员会发布了《GDPR下的个人数据泄露通知实用指南》，该指南通过大量案例的统计分析为数据控制者提供了有关如何处理数据泄露实用性建议。

风险评估的具体考虑因素

鉴于在某些情况下，数据控制者对于数据泄露风险的可能性和严重性进行评估时可能会出现偏差，使得评估的风险与数据主体的权利和自由不相对应，该指南规定数据控制者评估风险时应当考虑的因素包括但不限于以下内容：

• 个人数据的类型和性质（包括是否包含敏感或“特殊类别”的个人数据）；

• 个人数据泄露的情况；

• 个人数据是否受到适当的技术保护措施，例如加密或假名；

• 容易直接或间接受到影响的数据主体；

• 假名被恢复或丧失保密性的可能性；

• 存在身份欺诈、经济损失或其他滥用个人数据的可能性；

• 个人数据被恶意使用的可能性；

• 数据泄露可能导致的物理层面的实质损害以及对数据主体造成的非实质性损害；

• 数据泄露导致歧视、声誉受损或损害数据主体其他基本权利的可能性；等等。

如果数据控制者未考虑所有相关因素及潜在风险，可能会导致“漏报”。

关于没有通知和延迟通知的情形

下述情形都是违反立法规定的：

• 数据控制者对数据泄露通知条件产生误解，或者完全没有对数据泄露事件进行风险评估的，就会产生没有通知数据保护机构或数据主体的情形；

• 数据控制者虽然已经向数据保护机构履行了数据泄露通知义务，但是没有再规定的“72小时内”这样做且没有正当理由，属于延迟通知。因此，为了证明符合GDPR的要求，特别是向数据保护机构进行通知或与数据主体“无故拖延”地进行了适当沟通的要求，数据控制者应记录他们首次意识到数据泄露的情况和时间。

另外，在某些情况中，如果数据控制者通知的信息不完整、省略了相关信息或未能完成足够的风险评估，即使进行了通知也会被认为没有履行通知义务。

关于数据控制者的技术水平

在个人数据泄露通知事项中，数据保护机构从与数据控制者的沟通中注意到，数据控制者所拥有的的技术和知识水平是影响泄露通知的一大障碍，因此数据控制者应确保自身的技术水平可以准确无误的对以下事项进行确认：

• 是安全事件（如网络攻击）的受害者；

• 在发生数据泄露之后应立即采取的措施和行动；

• 应采取的适当的保障措施，以减少发生此类事件的风险。中小型数据控制者与该事项的关联度最强。

如果没有能够达到上述要求的必要技术知识水平，数据控制者应当寻求适当的培训以及外部建议或ICT支持。

结论和建议

考虑到数据保护机构违规评估组的经验，包括迄今为止根据GDPR强制性通知制度收集的泄露通知的统计数据以及上面概述的一些关键问题，数据控制者在考虑处理个人数据泄露时应牢记许多重要考虑因素，关键要点概述如下：

第一，履行通知和沟通的义务（规定在GDPR第33和34条中）

根据GDPR设置的泄露通知制度，数据控制者应当确保了解两项主要不同的法律义务，一是向数据保护机构披露资料被泄露的事项，除非数据控制人能证明泄露不太可能对数据主体构成风险；二是向数据主体通知有关数据泄露的信息，而泄露数据可能会对数据主体造成高风险。

数据控制者需要注意的是，一旦他们意识到个人数据被盗，则数据泄露通知的相关时间已经启动，且应当进行适当的记录，以证明符合通知义务。数据控制者即使没有所有泄露相关信息也要对数据保护机构履行通知义务，应在初次通知中提供尽可能多的信息，并在后续通知中进行完善。

第二，评估风险

在评估个人数据被泄露的情况时，数据控制者应当综合考虑多项因素，以确定对数据主体的权利和自由产生的影响和风险。其中，数据控制者应重点考虑个人数据在泄露后是否可以或是否可能被恶意使用而影响数据主体。

第三，提供的相关信息

数据控制者应向数据保护机构提供以下信息：对数据泄露如何发生的详细描述；如何意识到数据泄露发生的相关情况；数据泄露的来源；受影响的用户数量；受影响的数据类型；发现后采取的行动；下一步的计划；是否进行审计等急了；具体的过程记录；相关的制度和政策；等等。

第四，数据泄露的相关政策和程序

数据控制者应制定应对数据泄露的内部政策和程序，包括相关的标准、操作程序、指南等等。

作者简介：刘耀华，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。