欧洲数据保护专员公署(EDPS)数据泄露报告指南解读
2019-03-28吴沈括霍文新
□ 文 吴沈括 霍文新
作者单位:北京师范大学
2018年11月21日,欧洲数据保护专员公署(EDPS,以下简称:专员公署)发布了针对欧盟机构和机关(以下统称:欧盟机构)的个人数据泄露报告指南(Guidelines on personal data breach notification For the European Union Institutions and Bodies)。根据新的欧盟条例也即第(EU)2018/1725号条例,所有欧盟机构都有责任向专员公署报告某些类型的个人数据泄露事件。
该指南旨在为欧盟机构遵守关于其处理个人数据的法规相关规定提供实用建议,通过对个人数据泄露情况下个人数据保护、隐私及其他基本权利风险的评估和管理,提供建议并指出实施个人数据保护责任的最佳实践。指南收集并整合了专员公署过去几年给予欧盟机构的建议,概述了欧盟机构应采取的应对个人数据泄露的方法,同时在评估对第(EU)2018/1725号条例的遵守情况时,专员公署还将列出最佳实践作为参考。
除了该指南提出的措施之外,欧盟机构可以依据具体需求选择其他同样有效的措施,在这种情况下,欧盟机构需要证明这些措施的同等保护水平。欧盟机构应定期对个人数据泄露程序进行评估,保证欧盟机构在原则上可以有效地响应相关事故的发生,以防止或降低个人数据泄露所造成的风险。
该指南主要从以下方面展开内容:1.个人数据泄露的法律定义;2.个人数据泄露的评估机制;3.向专员公署的报告;4.向数据主体的传达;5.个人信息泄露事件的记录。
一、个人数据泄露的法律定义
依据第(E U)2018/1725号条例,“个人数据泄露”是指由欧盟机构作为控制者负责的个人数据,因违反安全规定,而意外或非法破坏、丢失、篡改、未经授权披露或访问、传输、存储或以其他方式被处理。
值得注意的是,并非所有违规行为均属于违反安全规定,如处理行为没有法律依据进而导致数据信息不完整的行为。与信息安全事件相关的并非都是个人数据泄露事件,但个人数据泄露事件则均被定义为信息安全事件。
第29条工作组定义了三种类型的个人数据泄露:1.未经授权或意外披露、访问个人数据;2.意外或未经授权破坏个人数据或失去了对个人数据访问的控制;3.未经授权或意外更改个人数据,即个人数据的不当修改。
二、个人数据泄露的评估机制
风险评估方法以欧盟《一般数据保护条例》(GDPR)相关评估规则为标准,违规的严重程度需要根据具体情况进行评估,评估的基本考虑要素应以“对自然人权利和自由造成的风险程度”为依据。
首先,欧盟机构应当有完善的安全事件管理流程,在评估事件时应检测个人数据是否受到影响,如有影响应立即向数据保护官(DPO)进行咨询,如被认定为个人数据泄露事故,则进行后续评估工作。个人数据泄露认定的必要条件是所涉及的数据类型为个人数据,且该个人数据应能被识别。
其次,在评估风险时,应考虑对数据主体的权利和自由产生不利影响的可能性和严重性,然后进行客观性风险评估。此步骤非常关键,因为它为欧盟机构赋予了作为控制者的报告义务。所谓客观评估是指,欧盟机构应在数据泄露管理程序或单独程序中整合分步指导以及方法等。
评估的主要内容:1.数据类型;2.个人数据的性质、敏感度和数量;3.识别数据主体的程度;4.对数据主体造成后果的严重程度;5.数据主体是否具有特殊性;6.数据控制者是否具有特殊性;7.受影响的主体数量等。上述因素都需要仔细评估以判断每一个因素单独或与其他因素相结合后对数据主体所造层的风险程度。
三、向专员公署的报告
欧盟机构应在不迟于72小时内向专员公署报告个人数据泄露事件,除非该泄露事故不太可能对数据主体的权利和自由造成风险。
1.报告要求
数据控制者应在发现数据泄露后不迟于72小时向专员公署发送报告,如果超出72小时的时限,应提供证明表明延误理由的正当性。如果风险不大,则无须报告专员公署,但是数据控制者应通知数据保护官并记录事件行为。
数据控制者向专员公署发送的报告中应包含以下内容:(1)个人数据泄露事故性质的描述,包括可能的数据主体的类别和大致数量以及相关个人数据的类别和大致数量;(2)数据保护官的名称和联系方式;(3)对个人数据泄露可能后果的具体描述;(4)为解决个人数据泄露而采取或建议采取的措施的具体描述。
2.分阶段报告
根据数据泄露的性质,欧盟机构应进一步进行调查以确定数据泄露的事实,同时将相关信息分阶段提供给专员公署。
欧盟机构应当在数据泄露事故行为中迅速采取行动,尽可能恢复受损数据并向专员公署寻求建议。如果数据控制者的管理员尚未掌握所有必要信息,则应报告专员公署,并在稍后提供更多详细信息,并就如何以及何时提供信息达成一致。
四、向数据主体的传达
如果个人数据泄露导致个人权利和自由受到高风险的威胁,欧盟机构应将该信息传达给数据主体且不得无故拖延。在这种情况下,传达信息并没有具体的时间限制,但应尽快进行,同时鉴于此时风险较高,数据控制者应采取必要的预防措施。
传达信息的内容,应当对个人数据泄露的性质以及对减轻潜在不利影响的建议进行必要说明,传达方式应在合理可行的情况下尽快进行,且可以选择与专员公署密切合作并遵守其提供的指导。向数据主体传达的信息内容应当包括个人数据泄露的性质以及可能的后果的说明。欧盟机构还应酌情向个人提供具体建议,以保护数据主体免受违规行为可能产生的不利后果。
根据问责制原则,如果数据控制者决定不向受影响的数据主体传达违规行为,则必须向专员公署进行说明。如果专员公署认定不通知数据主体有关个人数据泄露的决定没有根据,考虑到个人数据泄露导致高风险的可能性,它可能会命令数据控制者向数据主体进行信息传递,否则将对数据控制者实施强制措施。
五、个人数据泄露事件的记录
数据控制者的管理人员应记录所有个人数据泄露事件,包括与个人数据泄露事件有关的影响和数据控制者采取的补救措施等事实,以保证欧洲数据保护主管能够对这些信息进行访问,以及依据该记录文件验证相关行为是否符合相关规定。
记录文件可保证问责制度的实施,该文件的内容记录了数据控制者处理个人数据过程中相关原则的遵守情况。欧盟机构可就该文件册的结构、设置和管理问题等征求数据保护官的意见,数据保护官还可以对这些文件的记录内容另行进行维护。■