第七部分:發(fā)生安全事件時數(shù)據(jù)泄露通知的要求
數(shù)據(jù)泄露通知則是指當發(fā)生個人數(shù)據(jù)泄露安全事件時候,,個人信息的控制者與處理者需要就泄露事件向不同的主體發(fā)出通知和報告的義務,。
數(shù)據(jù)泄露無小事,,它總是不可避免地發(fā)生在日常業(yè)務運營的過程中,,一旦出現(xiàn)數(shù)據(jù)泄露等不同類型的安全事件時,,將會對個人信息主體造成不同程度的危害和影響,。造成數(shù)據(jù)泄露的原因紛繁復雜,,例如網(wǎng)絡運營者自身的系統(tǒng)漏洞,、沒有及時更新技術措施,、黑客的故意攻擊、內部管理人員的不法操作或故意泄露等等,,難以進行完全的消除與遏制,。
因此,不同地區(qū)和國家的數(shù)據(jù)保護法律通過在立法中確定“數(shù)據(jù)泄露通知制度”以加強對數(shù)據(jù)泄露的管理,,通過及時采取有效措施和控制損害范圍的擴大,,來有效保障數(shù)據(jù)主體權益。
?。ㄒ唬┪覈鴤€人信息保護法解讀:
GDPR第33和34條規(guī)定了在發(fā)生個人數(shù)據(jù)泄露的情形時,,數(shù)據(jù)控制者通知監(jiān)管機構和受影響數(shù)據(jù)主體的要求,強制要求數(shù)據(jù)控制者應當在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時內將個人數(shù)據(jù)泄露的情況報告監(jiān)管機構,,除非個人數(shù)據(jù)泄露不太可能會對自然人的權利和自由造成風險,。如果數(shù)據(jù)泄露可能對自然人的權利和自由產(chǎn)生較高風險,數(shù)據(jù)控制者還應當立即將個人數(shù)據(jù)泄露的情況通知數(shù)據(jù)主體。
我國個保法在參考和借鑒海外數(shù)據(jù)保護立法的基礎上,,亦通過明確的法律規(guī)定,,對數(shù)據(jù)泄露通知作出具體的要求:
1 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務的情況
個保法要求,個人信息處理者在發(fā)生或者可能發(fā)生(1)個人信息泄露,;(2)個人信息被篡改,;(3)個人信息丟失的情況下,需要履行數(shù)據(jù)泄露通知的義務,。
從目前的規(guī)定來看,,觸發(fā)數(shù)據(jù)泄露通知的情形主要在兩大點:
01
一是,只要是個人信息遭受了泄露等情形的,,不管該等個人信息是否是敏感類型的個人信息,、還是一般的個人信息,都可能需要啟動到數(shù)據(jù)泄露通知制度,;
02
二是,,明確了觸發(fā)通知的具體場景,包括遭遇泄露,、被篡改以及丟失的情況,。個保法沒有就具體遭遇泄露的個人信息的數(shù)量進行規(guī)定,可以看出,,其不以“數(shù)量的多少”來判定是否需要啟動數(shù)據(jù)泄露通知制度,,而是以是否確實“發(fā)生了泄露、篡改和丟失”的實質情況,,以及是否“對數(shù)據(jù)主體造成危害的”定性上作為啟動數(shù)據(jù)泄露通知制度的主要判定基準,。
2 明確了履行數(shù)據(jù)泄露通知義務的主體
與GDPR類似,在我國個保法的立法語境下,,要求“個人信息處理者”承擔數(shù)據(jù)泄露通知的義務,,即,有權并能自主決定個人數(shù)據(jù)處理的目的,、方式的企業(yè),、組織和個人都會成為履行數(shù)據(jù)泄露通知的義務主體。
3 明確了數(shù)據(jù)泄露需要通知的對象
參考海外數(shù)據(jù)立法經(jīng)驗,,我國個保法也對被通知的對象分為兩類主體:
01
數(shù)據(jù)監(jiān)管部門:履行個人信息保護職責的部門
02
數(shù)據(jù)主體本身:個人用戶,。
但是,我國個保法沒有像部分海外數(shù)據(jù)法律的規(guī)定一樣,,以數(shù)據(jù)泄露事件的數(shù)量與規(guī)模作為是否通知數(shù)據(jù)監(jiān)管部門的判斷基礎,而是明確規(guī)定了,,只要發(fā)生或可能發(fā)生個人信息泄露,、篡改、丟失的情況下,,個人信息處理者都應當通知履行個人信息保護職責的監(jiān)管部門,。鑒于我國目前在個人信息監(jiān)管方面仍處于多頭監(jiān)管的狀態(tài),,在通知數(shù)據(jù)監(jiān)管部門的要求及范圍等方面,仍期待接下來的司法解釋,、政策指南給出更多的指導規(guī)定,。
關于是否需要通知到“個人信息主體”,我國個保法也提供了一定的豁免情形,。如果個人信息處理者能夠及時立即地采取措施,,并能夠有效避免信息泄露、篡改,、丟失所造成的危害的話,,則發(fā)生了數(shù)據(jù)泄露事件的個人信息處理者可以不通知到個人信息主體。但請注意,,個保法對于“選擇不通知”的豁免是規(guī)定了比較嚴格的條件的,,既要求個人信息處理者需要“立即”采取措施,也要求該等措施是能夠“有效避免”對個人信息主體的危害的,。
同時,,還對“選擇不通知”的豁免給出了限制條件,即當履行個人信息保護職責的部門認為數(shù)據(jù)泄露事件可能造成危害的,,則對應的數(shù)據(jù)監(jiān)管部門有權要求個人信息處理者通知到個人,。
4 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務的情況
確認了是否啟動數(shù)據(jù)泄露通知后,關于通知中應當包含哪些具體的內容,,也是通知制度中的關鍵部分,。我國個保法對此也作出了明確的規(guī)定,通知應當包括:
01
發(fā)生或者可能發(fā)生個人信息泄露,、篡改,、丟失的信息種類;
02
發(fā)生的原因,;
03
本事件可能造成的危害,;
04
個人信息處理者采取的補救措施;
05
個人可以采取的減輕危害的措施,;
06
個人信息處理者的聯(lián)系方式,。
05 通知時間的限制要求
海外部分較發(fā)達地區(qū)的數(shù)據(jù)保護法律對數(shù)據(jù)泄露通知的形式、時間以及通知程序作出明確的規(guī)定,。目前,,我國個保法中,在通知的時間要求上并沒有例如“72小時”或者“兩個工作日”的規(guī)定,,而是采取“立即采取補救措施”+“及時通知”的要求,。
企業(yè)在發(fā)生數(shù)據(jù)泄露事件后,在執(zhí)行通知的形式、時間和流程上的具體要求,,也需要接下來進一步的司法解釋,、指南和標準來進行闡明,為企業(yè)提供更加具體的實操指示,。
(二) 海外主要個人信息保護法律對比:
