APUS研究院｜看完本文再去和人聊Facebook“個人數據泄露”事件_風聞

要説三季度什麼新聞見天上數據合規的“熱搜榜”，肯定要屬Facebook的超大規模個人數據泄露（“Personal Data Breach”）。Facebook這波未平，那邊廂國泰港龍航空公司再次爆出大規模個人數據泄露醜聞。因此，為了讓各位大佬好好追熱點，小編本期就決定聊一聊GDPR下的“個人數據泄露”。老規矩，看完這篇文章後，小編希望各位大佬可以瞭解：

l  什麼是“個人數據泄露”；

l  “個人數據泄露”報告；

l  不報告“個人數據泄露”的後果

#1 什麼是“個人數據泄露”

如果放在企業運營場景下，這並不是一個簡單的問題。

並且因為GDPR要求企業在發生“個人數據泄露”事件後必須履行一系列義務，企業如果答錯了這問題可能要吃不了兜着走。

那麼GDPR對“個人數據泄露”是如何定義的？

“因為安全漏洞導致被傳輸的，存儲的或者以其他方式處理的個人數據被意外地或非法地的銷燬、丟失、篡改或被未經授權的公開或未經授權的訪問。”

# 安全漏洞導致

GDPR規定，企業有義務根據實際情況，從技術上和組織上兩個方面採取相應的安全措施來保障企業的個人數據安全。在有關“個人數據泄漏”的指南中，WP29小組再次強調了這一點。雖然前述指南沒有言明必然有引起與被引起的關係存在，但是小編個人認為“個人數據泄露”大多還是由於故意或者過失違反GDPR有關安全措施的規定而引起的。

此外，個別國家的數據保護機關，比如英國數據保護機關（ICO）在其網站上將“個人數據泄露”寬泛的定義為“影響個人數據的保密性、完整性和可訪問性的”的安全事件。

# 滅失、丟失、篡改或被未經授權的公開或訪問

敲響一記警鐘，“個人數據泄露”可並不僅僅只包括“泄露”。從GDPR的定義上看，單純的泄露（也就是個人數據被未經授權的公開或者被未經授權的第三方訪問），僅僅是“個人數據泄露”的一種可能，其他還包括被篡改，或者滅失，丟失。

滅失，就是個人數據不存在了，或者不以能夠為企業或者企業授權的第三方所用的狀態存在了。舉個最直觀的例子，比方説一家企業存儲個人數據的硬盤被扔到硫酸裏溶解了，這個事件就可以被定性為個人數據滅失。

丟失和滅失的區別在於，個人數據可能還是存在的，但是企業或者企業授權的第三方已經喪失了對個人數據的控制或者物理上的佔有。繼續拿硬盤舉例子，比如説這家企業唯一的一個存儲個人數據的硬盤被人偷了。再比方説，一家企業存儲的個人數據被第三方未經授權的進行了加密了，然後這家企業自己還沒有進行備份，也應定性為丟失。

這裏還有一點特別提示一下各位大佬，個人數據丟失過，即使找回來了，也可能還是被認定為“個人數據泄露”事件。

還是老規矩，如果覺着上面的講解太過抽象，小編請各位大佬看下面中一些企業實際運營中比較常見的“個人數據泄露”場景。

l  用户身份泄露；

l  丟失存儲有用户信息的筆記本電腦、U盤或者其他文檔（即使內含用户數據是加密的）；

l  丟失加密用户信息的密碼；

l  黑客入侵企業存儲有用户信息的IT設施並自行設置了密碼；

l  企業技術故障導致用户信息被公開；

l  因為患者信息被篡改導致醫院不能正常收治病人；

l  物理入侵放有企業服務器的房間並破壞了存儲有企業用户信息的硬件設施和備份；

l  企業喪失企業所有的自動處理用户信息的電子系統的使用權限；

l  外來訪客在沒有企業相應員工陪同的情況下闖入有權限可以訪問企業用户信息的房間；以及

l  企業將郵件或信息發送錯了人等等。

#2 “個人數據泄露”報告

從合規角度出發，各位大佬瞭解“個人數據泄露”的一個原因就是明確合規義務。而與“個人數據泄露“相關的一項最重要的合規義務，就是向相應數據保護機關報告的義務。

各位大佬也可以看出，GDPR下“個人數據泄露”的定義實際上是寬泛的。那麼，是不是每一起滿足上文提到的“個人數據泄露”定義的事件都需要報告呢？

答案不是絕對的，不過也差不多。只要“個人數據泄露”存在導致數據主體遭受身份泄露、權利自由方面的影響、歧視影響、遭受欺詐、經濟損失、匿名狀態被破壞、名譽受損等負面影響的風險，企業就必須及時向相關數據保護機關進行報告。

這裏小編還想再簡單談一下向數據保護機關報告的要求。

#儘早彙報

首先不難想到的是，出了這麼大的事情，一定要及時報告。除了做出越早彙報越好的規定外，GDPR及WP29小組進一步規定，最晚不能超過企業“知曉”“個人數據泄露”後的72小時。如果超過了72小時才彙報，那一定要附上報告晚了的理由。

#怎麼算“知曉”

從上一個要求中不難看出，如果發生“個人數據泄露”，企業和數據保護機關一個潛在的爭議點就是如何確定企業是否“知曉”“個人數據泄露”。

這點小編分別從主觀標準和客觀標準來聊一聊。

主觀上，企業有理由或依據可以合理的認為確實發生了“個人數據泄露”，即認為企業“知曉”了“個人數據泄露”。

不過各位大佬不要認為拖延症有了藉口，因為真正的緊箍咒是在客觀標準方面。

上文提到過，GDPR要求企業實施足以保護企業運營中處理的個人數據的技術和組織措施，儘量防止“個人數據泄露”出現。進一步的，GDPR還要求，企業實施足以及時識別和報告“個人數據泄露”的，符合企業實際情況的技術和組織措施，及時控制已經出現的“個人數據泄露”可能造成的對數據主體的不利影響。

所以，如果想試圖和數據保護機關強調自己真的一直沒有發現“個人數據泄露”的大佬，千萬小心更大的一口鍋從天而降哦。

#報告的一些細節要求

先談一下報告的的內容。GDPR33條第3款對於報告的內容做出了規定，這裏小編不再重複法條的內容，但是想談談幾個WP29小組在指南中提到的細節問題。

首先，WP29小組再次強調，向數據保護機關報告的目的是為了“控制可能對於被影響的數據主體造成的損害”。

其次建議企業在向相關數據保護機關報告“個人數據泄露”時，將提交的數據主體和個人數據記錄進行一個簡單的分類處理。比如將數據主體分為兒童、易受影響羣體、老人和殘障人士等等。

最後，雖然説及時通知的要求很嚴厲，但是WP29小組還是給予了涉事企業進一步調查的空間。WP29小組承認，即使採取了相應的技術或者組織措施，企業還是有可能在72小時內獲得不了足夠的信息。這種情況下，企業是可以在72小時內將自己已經瞭解的先報告給數據保護機關，然後進一步調查後再繼續向數據保護機關進行報告。

#3 沒有報告的後果是什麼

至少從GDPR法條上來看，後果還是很嚴重的。各位大佬估計能猜到，行政罰款是跑不了的。單單沒有適當履行報告義務本身就可能導致額度等於1000萬歐元或者企業2%全球營收二者中較高者的行政罰款。

這可能並不是最糟糕的情況。

有實務界的觀點認為，發生“個人數據泄露”且沒有適當履行報告義務，一般還會招致數據保護機關對於企業採取的技術上的或組織上的安全措施的質疑。搞不好，前面提到的罰款就翻倍了。

#4 尾聲

除了向數據保護機關報告外，在“個人數據泄露”可能使得數據主體處於高風險狀態的情況下，企業必須及時與相關所有數據主體就“個人數據泄露”進行溝通。此外，關於報告義務等還有一些更加細節的規定。限於篇幅，小編下期再給各位大佬娓娓道來。

最後還是那句老話，GDPR合規無小事，各位大佬，我們下期再見！