GDPR监管之下,数据泄露通告是强制的,而且必须及时。那么,一旦发生数据泄露,该报告些什么,向谁报告呢?
《通用数据保护条例》(GDPR)是指导公司企业如何处理欧盟公民个人数据的一系列规定。其33和34条要求在数据泄露发生时通报监管机构和受影响数据主体。
尽管需报告的内容在条例中作了细致规定,但何时报告和向谁报告却不是那么清楚。你知道自己公司若想GDPR合规需在什么情况下报告数据泄露,报告哪些内容,以及向谁报告吗?
何时报告数据泄露?
根据GDPR规定,如果发生致个人数据遭意外或非法破坏、丢失、篡改、未授权披露或访问的事件,对公民人权及自由造成潜在风险的,涉事公司必须向数据保护机构(DPA:又称监督机构(SA))报告。欧洲数据保护监督机构(EDPS)建议指出,尽管不是每一起信息安全事件都是个人数据泄露事件,但每起个人数据泄露事件都是信息安全事件。
正如GDPR第85条列举的,如果事件可造成个人数据失控或权益受限、歧视、身份盗窃或欺骗、经济损失、未授权逆匿名、声誉伤害、职业性秘密保护下的个人数据机密性丧失,或对涉事自然人造成其他任何重大经济或社会不利情况,公司即应报告该事件。
EDPS列出的需要报告的事件包括:
未能及时向数据保护机构通报数据泄露事件可致1千万欧元或公司全球年营业额2%的高额罚款。
数据控制者的客户支持中心仅持续几分钟的短暂停电,则可能无需向EDPS列出的DPA报告。即便公司认为事件无需向DPA通报,也仍需告知其数据保护官,并正式记录该事件。
英国信息专员办公室(ICO)提供可供确定公司是否需要报告事件的自评估服务。
向谁报告数据泄露?
一旦公司确定有必要报告数据泄露事件,应联系相关DPA。向哪个DPA报告取决于公司自身情况:如果公司仅在某一个国家运营,或者围绕被泄数据的所有数据收集、处理和决策都在本地完成,那公司就只需要向当地DPA报告。
如果数据跨越国界,围绕该数据处理的决策在哪个国家做出,就应向哪个国家的DPA报告(称为主管监督机构:LPA)。比如说,如果公司的欧洲总部在伦敦,但事件发生在负责数据处理的德国,那数据泄露事件就应报告给英国 ICO,因为英国才是围绕数据处理的决策做出的地方。但是,如果数据决策分散多地进行——假设伦敦负责员工数据,法国负责客户数据,那么英国ICO就是员工数据泄露事件的LSA,而法国国家信息自由委员会(CNIL)则是涉客户信息事件的LSA。
如果公司在欧盟没有官方机构,但仍遭遇涉及欧盟公民数据的泄露事件,根据欧盟建议,该公司必须向业务所涉每个欧盟成员国的监督机构报告。国际隐私职业协会(IAPP)给出了欧盟全部DPA的列表,并包含了每个机构相关表报或联系信息的链接。
遭遇数据泄露的公司企业需在发现事件的72小时之内通报DPA。虽然措辞中有 “在可能的情况下” 这种附加说明,公司企业仍需提供延迟的原因解释。如果公司无法立即提供全部所需材料,可以分阶段上报DPA,并在知悉情况后向机构提供更多细节。
报告哪些内容?
报告事件的公司企业需回答有关数据泄露的一系列问题:
大多数DPA在其网站上都有数据泄露通报表格模板。
公司企业还应通知受数据泄露影响的个人。如果受影响个人的权利和自由面临 “高风险”,EDPS规定公司企业必须 “无不当延迟” 地通知受影响个人。通知受影响人员时,公司企业需说明个人数据泄露的性质,并给出相关自然人缓解潜在负面影响的建议。
不同行业需遵从的监管法规不同,除GDPR之外,可能还要遵循其他数据保护规定报告事件,比如HIPAA、PIPEDA或eIDAS。美国州议会联会(NCSL)提供了各州数据泄露通报法规列表。
数据泄露通报挑战
Redscan依据《信息自由法案》提出的申请发现,GDPR生效之前公司企业向英国ICO报告数据泄露平均要花费21天,有家公司甚至拖了142天。93%的公司企业未指出数据泄露的影响,或在报告时尚不知悉事件影响。
2019年2月的报告中,EDPS称自2018年5月GDPR生效后共收到了6.46万件数据泄露通报。《CSO》杂志的数据显示,2017年6月到10月自报告数据泄露平均数量仅为250件。GDPR生效后每月平均报告数量同期环比猛涨,达到每月1,400件之多。
然而,GDPR数据泄露通报似乎令公司企业很是头疼,Experian和波耐蒙就数据泄露解决所做的联合研究报告发现,半数公司企业认为其数据泄露响应计划的有效性 “非常高”,只有不到30%的受访公司企业称具备很强的GDPR数据泄露通报合规能力。
Experian数据泄露解决团队副总 Michael Bruemmer 称:
最容易做到的就是72小时内通告DPA了。我觉得GDPR合规自信的缺乏更像是意识的缺乏而非理解的不足。规定并没有说你必须做完全部取证才能上报,也没说上报的同时还要通知消费者。未必非要等到万事俱备才上报。你只需确保自己通告‘我们觉得自己遭遇了数据泄露;我们处于处理过程中的xx阶段;我们将得出结论,如果是数据泄露的话会做出通知。
面对不确定性,很多公司采取 “报告所有事” 的方法来符合通告要求。2018年8月的 “CBI网络安全:商业洞见”大会上,英国助理信息专员James Dipple-Johnstone强调了ICO面临的 “过度报告” 问题。
5月25日生效以来,我们的数据泄露报告热线每周接到500个电话。其中1/3在与我们工作人员讨论之后确定自己的数据泄露未达我们的报告阈值。
为72小时做好准备
确保符合数据泄露通报要求的最佳方法就是事先规划,无论你要符合的是GDPR还是其他什么规定。要了解自己需要向谁报告,将这些合规要求融入自身事件响应计划,并经常测试这些计划。
做个计划再照单划勾还不足以满足合规要求。你得清楚自己都有些什么数据,做了哪些防护。你得设置事件响应计划并实践该计划,定期更新,进行桌面推演,尽可能保证演练真实有效。这跟消防演习没什么不同。业务连续性和灾难恢复人员清楚这一点,但未必能推进到网络安全、规划和数据泄露响应层面。
EUDPS建议:
https://edps.europa.eu/sites/edp/files/publication/18-12-05_guidelines_data_breach_en_0.pdf)
英国信息专员办公室提供的自评估服务:
https://ico.org.uk/for-organisations/report-a-breach/pdb-assessment/
欧盟DPA列表:
https://iapp.org/resources/article/how-to-notify-your-dpa-of-a-data-breach/
NCSL给出的美国各州数据泄露通报法规列表:
http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx
EDPS 2019年2月的报告:
http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
Experian和波耐蒙联合研究报告:
https://www.experian.com/data-breach/2019-data-breach-preparedness.html?ecd_dbres_blog_sixth_annual_preparedness_study