EN
×

打开手机,扫一扫二维码
即可通过手机访问网站

×

打开微信,扫一扫二维码
订阅我们的微信公众号

《GDPR下个人数据事故通知指南》十问

2023-04-191755

近日,欧盟数据保护委员会(EDPB)发布《GDPR个人数据事故通知指南2.0》(Guidelines 9/2022 on personal data breach notification under GDPR 2.0)(以下简称《通知指南》),更新了发生个人数据事故后如何通知相关主体的操作规则。本文将以问答形式介绍《通知指南》中的主要条款,以供大家参考。


根据GDPR前言第87条,发生安全事故后应当立即通知数据监管机构和个人主体。在确定“立即”程度时应考虑事故的性质、严重程度和对个人主体的影响等。

1、什么时候向监管机构报告个人数据安全事故?
根据GDPR第33(1)条,数据处理者应当在知晓事故发生后不迟延地(without undue delay)通知数据监管机构,如有可能在不迟于知晓事故发生后72小时通知。至于何为“知晓”,根据《通知指南》第31条,数据处理者一定程度上确定(reasonable degree of certainty)发生了安全事故应被视为“知晓”。为此,数据处理者有义务采取技术措施和管理措施以确保一旦数据事故发生数据处理着即可迅速“知晓”发生了数据安全事故。[1]

至于可以认为数据处理者确切知道发生安全事故,这要因情况而异,但重点在于立即采取措施调查事故以确定是否导致个人信息受到影响。比如,一个带有未加密的个人信息的U盘丢失了,虽然不能确定是否有人捡到该U盘并接触到个人信息,但此时只要数据处理者意识到U盘丢了就认为其“知晓”了个人数据事故。再比如,一个犯罪分子在黑客攻击数据处理者的系统后联系数据处理者索要赎金。数据处理者经检查确认被攻击,此时数据处理者就确切“知晓”个人数据事故了。

2、是不是一“知晓”就报告,而什么也不做?

不是的,根据《通知指南》第35条,数据处理者应当评估对个人权益受到影响的可能性并进而确定是否报告监管机构,以及需要采取的措施。为此,数据处理者应当建立内部制度以能够发现和处理数据事故。比如,用一些技术措施比如数据流和日志分析器通过关联日志数据发现网络事件并报警。一旦监测到安全事件第一时间上报管理层以确保正确处理。上述措施和报告制度可以在应急方案中详细列明。[2]

3、向监管机构提供什么信息?

根据GDPR第33(3)条,应该向监管机构提供:1)数据安全事故的性质包括个人信息主体的种类及大概数量以及个人信息记录的种类及大概数量;2)数据保护官或其他联系人的姓名和联系方式以便监管机构获取更多信息;3)事故可能后果;4)已经采取或建议采取的措施,如有可能,也包括减少负面影响的措施。但对个人信息主体或个人信息记录的种类GDPR并未规定。根据《通知指南》第50条,个人信息主体种类可以包括儿童或其他弱势群体、残疾人、雇员或顾客。个人信息记录的种类可以包括医疗信息、教育记录、金融情况、银行账号、护照号等。提供这些信息的目的是确定是否存在特定伤害的风险从而将损害降到最低。提供上述信息时并不要求确切的数字。

4、能否迟延提供信息?

可以。当短时间内遇到类似的安全事故时可以超过72小时报告,但如果是不同类型的安全事故需要在72小时内单独报告。[3]

当然,如果对于事故影响的范围并不清楚,数据处理者可以选择分步提供,[4]并在首次提供信息时告知监管机构还不具备全部信息,待了解到时将立即提供。

5、哪些情况下可以不用向监管机构报告?

根据GDPR第33(1)条,当数据事故不会影响数据主体的权益和自由时,可以不用报告监管机构。比如,事故发生后,使得本就处于公有领域的个人信息泄露。另外,如果个人信息被加密保护以致于未授权第三方根本无法接触到个人信息并丢失的个人信息只是一个副本或有备份,则这种事故则不需要报告监管机构。[5]比如存有个人信息的移动设备丢失了,而该移动设备具有开机密码其非常安全,此时可以不用报告。但如果以后发现密码被破解或者加密软件或算法容易被破解,则此时就要向监管机构报告了。这也就要求数据处理者充分了解其处理数据的各项加密措施的功能和级别了。

6、哪些情形下需要向个人信息主体告知安全事故?

根据GDPR第34(1)条,当数据安全事故可能对自然人的权利和自由带来较高风险时,数据处理者需要毫无迟延地将数据安全事故告知个人信息主体。据此,告知个人信息主体的门槛要高于向监管主体报告的门槛。

7、向个人信息主体告知哪些信息?

数据处理者应当向个人信息主体告知如下信息:

· 事故的性质
· 数据保护官或其他联系人的姓名和联系方式
· 数据事故的可能后果
· 已经采取的措施或建议采取的措施
· 个人信息主体可以采取的自我保护的具体措施(比如重设密码)[6]

8、如何向个人信息主体告知?

原则上逐一告知,只有当受影响的个人信息主体数量特别多以致逐一告知将给数据处理者带来与告知不相匹配的工作量时才可以通过发公告等公众能够知悉的方式进行统一告知。[7]

逐一告知的方式有电子邮件、短信、网页上移动的横幅条等。仅仅是一场新闻发布会或者公司的一条微博不构成有效的通知。数据保护机构推荐数据处理者用多个方式进行告知,从而增加个人信息主体获取的机会。[8]

9、是否向个人信息主体告知数据事故还要听取哪些机构的意见?

由于监管机构比个人信息主体提前得到数据事故的消息,其有可能会单独或联合其他执法机构展开调查,而此时如果他们觉得过早向个人信息主体告知安全事故时可能影响调查。这时,数据处理者可以在征得监管机构同意的情况下,暂缓向个人信息主体告知数据事故。[9]

10、什么情况下可以豁免告知义务?

根据GDPR第34(3)条,符合下列情形之一的,可以豁免告知义务:

· 在发生数据事故前,数据处理者已经采取了合理的技术和管理措施确保个人信息的安全,尤其是对个人数据进行处理后使得其无法被未授权者接触,比如对个人信息用最新的加密措施。
· 发生数据事故后,数据处理者立即采取措施确保对个人信息主体的权利和自由影响的高风险不会实现。比如,数据处理者短时间内找到了非法接触个人信息的人并对其采取了措施以至于其还未来得及对个人信息有任何动作。
· 联系个人信息主体需要花费巨大力气,比如由于事故导致个人信息主体的联系方式丢失或压根就不知道。比如,一个统计办公室被洪水淹没,而个人信息只记录在纸上。此时,用公众可以获知的公告等形式告知即可,而不需逐一告知。
当然,上述豁免并不是绝对不变的,会随着时间和情况的变化而有可能不再符合豁免条件。

[1] 《通知指南》第32条。
[2] 《通知指南》第37条。
[3] 《通知指南》第63条、第64条。
[4] 《通知指南》第53条。
[5] 《通知指南》第78条。
[6] 《通知指南》第87条。
[7] 《通知指南》第88条。
[8] 《通知指南》第90条。
[9] 《通知指南》第95条。


作者:朱尉贤
  • 打开微信,扫一扫二维码
    订阅我们的微信公众号

天驰君泰律师事务所 版权所有 | 免责声明 | 私隐保护声明 | 京ICP备15006147号-2 | 律谷科技出品