第七部分:發生安全事件時數據泄露通知的要求
數據泄露通知則是指當發生個人數據泄露安全事件時候,個人信息的控制者與處理者需要就泄露事件向不同的主體發出通知和報告的義務。
數據泄露無小事,它總是不可避免地發生在日常業務運營的過程中,一旦出現數據泄露等不同類型的安全事件時,將會對個人信息主體造成不同程度的危害和影響。造成數據泄露的原因紛繁復雜,例如網絡運營者自身的系統漏洞、沒有及時更新技術措施、黑客的故意攻擊、內部管理人員的不法操作或故意泄露等等,難以進行完全的消除與遏制。
因此,不同地區和國家的數據保護法律通過在立法中確定“數據泄露通知制度”以加強對數據泄露的管理,通過及時采取有效措施和控制損害范圍的擴大,來有效保障數據主體權益。
(一)我國個人信息保護法解讀:
GDPR第33和34條規定了在發生個人數據泄露的情形時,數據控制者通知監管機構和受影響數據主體的要求,強制要求數據控制者應當在發現數據泄露的72小時內將個人數據泄露的情況報告監管機構,除非個人數據泄露不太可能會對自然人的權利和自由造成風險。如果數據泄露可能對自然人的權利和自由產生較高風險,數據控制者還應當立即將個人數據泄露的情況通知數據主體。
我國個保法在參考和借鑒海外數據保護立法的基礎上,亦通過明確的法律規定,對數據泄露通知作出具體的要求:
1 明確了需要執行數據泄露通知義務的情況
個保法要求,個人信息處理者在發生或者可能發生(1)個人信息泄露;(2)個人信息被篡改;(3)個人信息丟失的情況下,需要履行數據泄露通知的義務。
從目前的規定來看,觸發數據泄露通知的情形主要在兩大點:
01
一是,只要是個人信息遭受了泄露等情形的,不管該等個人信息是否是敏感類型的個人信息、還是一般的個人信息,都可能需要啟動到數據泄露通知制度;
02
二是,明確了觸發通知的具體場景,包括遭遇泄露、被篡改以及丟失的情況。個保法沒有就具體遭遇泄露的個人信息的數量進行規定,可以看出,其不以“數量的多少”來判定是否需要啟動數據泄露通知制度,而是以是否確實“發生了泄露、篡改和丟失”的實質情況,以及是否“對數據主體造成危害的”定性上作為啟動數據泄露通知制度的主要判定基準。
2 明確了履行數據泄露通知義務的主體
與GDPR類似,在我國個保法的立法語境下,要求“個人信息處理者”承擔數據泄露通知的義務,即,有權并能自主決定個人數據處理的目的、方式的企業、組織和個人都會成為履行數據泄露通知的義務主體。
3 明確了數據泄露需要通知的對象
參考海外數據立法經驗,我國個保法也對被通知的對象分為兩類主體:
01
數據監管部門:履行個人信息保護職責的部門
02
數據主體本身:個人用戶。
但是,我國個保法沒有像部分海外數據法律的規定一樣,以數據泄露事件的數量與規模作為是否通知數據監管部門的判斷基礎,而是明確規定了,只要發生或可能發生個人信息泄露、篡改、丟失的情況下,個人信息處理者都應當通知履行個人信息保護職責的監管部門。鑒于我國目前在個人信息監管方面仍處于多頭監管的狀態,在通知數據監管部門的要求及范圍等方面,仍期待接下來的司法解釋、政策指南給出更多的指導規定。
關于是否需要通知到“個人信息主體”,我國個保法也提供了一定的豁免情形。如果個人信息處理者能夠及時立即地采取措施,并能夠有效避免信息泄露、篡改、丟失所造成的危害的話,則發生了數據泄露事件的個人信息處理者可以不通知到個人信息主體。但請注意,個保法對于“選擇不通知”的豁免是規定了比較嚴格的條件的,既要求個人信息處理者需要“立即”采取措施,也要求該等措施是能夠“有效避免”對個人信息主體的危害的。
同時,還對“選擇不通知”的豁免給出了限制條件,即當履行個人信息保護職責的部門認為數據泄露事件可能造成危害的,則對應的數據監管部門有權要求個人信息處理者通知到個人。
4 明確了需要執行數據泄露通知義務的情況
確認了是否啟動數據泄露通知后,關于通知中應當包含哪些具體的內容,也是通知制度中的關鍵部分。我國個保法對此也作出了明確的規定,通知應當包括:
01
發生或者可能發生個人信息泄露、篡改、丟失的信息種類;
02
發生的原因;
03
本事件可能造成的危害;
04
個人信息處理者采取的補救措施;
05
個人可以采取的減輕危害的措施;
06
個人信息處理者的聯系方式。
05 通知時間的限制要求
海外部分較發達地區的數據保護法律對數據泄露通知的形式、時間以及通知程序作出明確的規定。目前,我國個保法中,在通知的時間要求上并沒有例如“72小時”或者“兩個工作日”的規定,而是采取“立即采取補救措施”+“及時通知”的要求。
企業在發生數據泄露事件后,在執行通知的形式、時間和流程上的具體要求,也需要接下來進一步的司法解釋、指南和標準來進行闡明,為企業提供更加具體的實操指示。
(二) 海外主要個人信息保護法律對比:
