压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

GDPR監(jiān)管之下，數(shù)據(jù)泄露通告是強(qiáng)制的，而且必須及時(shí)。那么，一旦發(fā)生數(shù)據(jù)泄露，該報(bào)告些什么，向誰報(bào)告呢？

《通用數(shù)據(jù)保護(hù)條例》(GDPR)是指導(dǎo)公司企業(yè)如何處理歐盟公民個(gè)人數(shù)據(jù)的一系列規(guī)定。其33和34條要求在數(shù)據(jù)泄露發(fā)生時(shí)通報(bào)監(jiān)管機(jī)構(gòu)和受影響數(shù)據(jù)主體。

盡管需報(bào)告的內(nèi)容在條例中作了細(xì)致規(guī)定，但何時(shí)報(bào)告和向誰報(bào)告卻不是那么清楚。你知道自己公司若想GDPR合規(guī)需在什么情況下報(bào)告數(shù)據(jù)泄露，報(bào)告哪些內(nèi)容，以及向誰報(bào)告嗎？

何時(shí)報(bào)告數(shù)據(jù)泄露？

根據(jù)GDPR規(guī)定，如果發(fā)生致個(gè)人數(shù)據(jù)遭意外或非法破壞、丟失、篡改、未授權(quán)披露或訪問的事件，對(duì)公民人權(quán)及自由造成潛在風(fēng)險(xiǎn)的，涉事公司必須向數(shù)據(jù)保護(hù)機(jī)構(gòu)（DPA：又稱監(jiān)督機(jī)構(gòu)(SA)）報(bào)告。歐洲數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)(EDPS)建議指出，盡管不是每一起信息安全事件都是個(gè)人數(shù)據(jù)泄露事件，但每起個(gè)人數(shù)據(jù)泄露事件都是信息安全事件。

正如GDPR第85條列舉的，如果事件可造成個(gè)人數(shù)據(jù)失控或權(quán)益受限、歧視、身份盜竊或欺騙、經(jīng)濟(jì)損失、未授權(quán)逆匿名、聲譽(yù)傷害、職業(yè)性秘密保護(hù)下的個(gè)人數(shù)據(jù)機(jī)密性喪失，或?qū)ι媸伦匀蝗嗽斐善渌魏沃卮蠼?jīng)濟(jì)或社會(huì)不利情況，公司即應(yīng)報(bào)告該事件。

EDPS列出的需要報(bào)告的事件包括：

• 客戶數(shù)據(jù)庫丟失或被盜(包括存儲(chǔ)在U盤等可移動(dòng)載體上丟失)。
• 個(gè)人數(shù)據(jù)集唯一副本遭勒索軟件加密，或被控制者以不再持有的密鑰加密。
• 數(shù)據(jù)被意外刪除或被未授權(quán)人士刪除。
• 分布式拒絕服務(wù)(DDoS)攻擊致關(guān)鍵個(gè)人數(shù)據(jù)暫時(shí)無法訪問，比如醫(yī)療數(shù)據(jù)。

未能及時(shí)向數(shù)據(jù)保護(hù)機(jī)構(gòu)通報(bào)數(shù)據(jù)泄露事件可致1千萬歐元或公司全球年?duì)I業(yè)額2%的高額罰款。

數(shù)據(jù)控制者的客戶支持中心僅持續(xù)幾分鐘的短暫停電，則可能無需向EDPS列出的DPA報(bào)告。即便公司認(rèn)為事件無需向DPA通報(bào)，也仍需告知其數(shù)據(jù)保護(hù)官，并正式記錄該事件。

英國信息專員辦公室(ICO)提供可供確定公司是否需要報(bào)告事件的自評(píng)估服務(wù)。

向誰報(bào)告數(shù)據(jù)泄露？

一旦公司確定有必要報(bào)告數(shù)據(jù)泄露事件，應(yīng)聯(lián)系相關(guān)DPA。向哪個(gè)DPA報(bào)告取決于公司自身情況：如果公司僅在某一個(gè)國家運(yùn)營(yíng)，或者圍繞被泄數(shù)據(jù)的所有數(shù)據(jù)收集、處理和決策都在本地完成，那公司就只需要向當(dāng)?shù)谼PA報(bào)告。

如果數(shù)據(jù)跨越國界，圍繞該數(shù)據(jù)處理的決策在哪個(gè)國家做出，就應(yīng)向哪個(gè)國家的DPA報(bào)告（稱為主管監(jiān)督機(jī)構(gòu)：LPA)。比如說，如果公司的歐洲總部在倫敦，但事件發(fā)生在負(fù)責(zé)數(shù)據(jù)處理的德國，那數(shù)據(jù)泄露事件就應(yīng)報(bào)告給英國 ICO，因?yàn)橛攀菄@數(shù)據(jù)處理的決策做出的地方。但是，如果數(shù)據(jù)決策分散多地進(jìn)行——假設(shè)倫敦負(fù)責(zé)員工數(shù)據(jù)，法國負(fù)責(zé)客戶數(shù)據(jù)，那么英國ICO就是員工數(shù)據(jù)泄露事件的LSA，而法國國家信息自由委員會(huì)(CNIL)則是涉客戶信息事件的LSA。

如果公司在歐盟沒有官方機(jī)構(gòu)，但仍遭遇涉及歐盟公民數(shù)據(jù)的泄露事件，根據(jù)歐盟建議，該公司必須向業(yè)務(wù)所涉每個(gè)歐盟成員國的監(jiān)督機(jī)構(gòu)報(bào)告。國際隱私職業(yè)協(xié)會(huì)(IAPP)給出了歐盟全部DPA的列表，并包含了每個(gè)機(jī)構(gòu)相關(guān)表報(bào)或聯(lián)系信息的鏈接。

遭遇數(shù)據(jù)泄露的公司企業(yè)需在發(fā)現(xiàn)事件的72小時(shí)之內(nèi)通報(bào)DPA。雖然措辭中有 “在可能的情況下” 這種附加說明，公司企業(yè)仍需提供延遲的原因解釋。如果公司無法立即提供全部所需材料，可以分階段上報(bào)DPA，并在知悉情況后向機(jī)構(gòu)提供更多細(xì)節(jié)。

報(bào)告哪些內(nèi)容？

報(bào)告事件的公司企業(yè)需回答有關(guān)數(shù)據(jù)泄露的一系列問題：

• 數(shù)據(jù)泄露何時(shí)發(fā)生
• 何時(shí)以及怎樣發(fā)現(xiàn)的數(shù)據(jù)泄露
• 哪類個(gè)人數(shù)據(jù)遭泄露
• 泄露了多少條記錄，影響了多少人
• 泄露對(duì)數(shù)據(jù)主體有哪些可能影響
• 公司向用戶提供服務(wù)的能力受到多大影響
• 恢復(fù)時(shí)間
• 受影響歐盟公民是否收到通知
• 公司正在采取或?qū)⒁扇〉木徑饧邦A(yù)防此類事件的措施有哪些

大多數(shù)DPA在其網(wǎng)站上都有數(shù)據(jù)泄露通報(bào)表格模板。

公司企業(yè)還應(yīng)通知受數(shù)據(jù)泄露影響的個(gè)人。如果受影響個(gè)人的權(quán)利和自由面臨 “高風(fēng)險(xiǎn)”，EDPS規(guī)定公司企業(yè)必須 “無不當(dāng)延遲” 地通知受影響個(gè)人。通知受影響人員時(shí)，公司企業(yè)需說明個(gè)人數(shù)據(jù)泄露的性質(zhì)，并給出相關(guān)自然人緩解潛在負(fù)面影響的建議。

不同行業(yè)需遵從的監(jiān)管法規(guī)不同，除GDPR之外，可能還要遵循其他數(shù)據(jù)保護(hù)規(guī)定報(bào)告事件，比如HIPAA、PIPEDA或eIDAS。美國州議會(huì)聯(lián)會(huì)(NCSL)提供了各州數(shù)據(jù)泄露通報(bào)法規(guī)列表。

數(shù)據(jù)泄露通報(bào)挑戰(zhàn)

Redscan依據(jù)《信息自由法案》提出的申請(qǐng)發(fā)現(xiàn)，GDPR生效之前公司企業(yè)向英國ICO報(bào)告數(shù)據(jù)泄露平均要花費(fèi)21天，有家公司甚至拖了142天。93%的公司企業(yè)未指出數(shù)據(jù)泄露的影響，或在報(bào)告時(shí)尚不知悉事件影響。

2019年2月的報(bào)告中，EDPS稱自2018年5月GDPR生效后共收到了6.46萬件數(shù)據(jù)泄露通報(bào)?！禖SO》雜志的數(shù)據(jù)顯示，2017年6月到10月自報(bào)告數(shù)據(jù)泄露平均數(shù)量?jī)H為250件。GDPR生效后每月平均報(bào)告數(shù)量同期環(huán)比猛漲，達(dá)到每月1,400件之多。

然而，GDPR數(shù)據(jù)泄露通報(bào)似乎令公司企業(yè)很是頭疼，Experian和波耐蒙就數(shù)據(jù)泄露解決所做的聯(lián)合研究報(bào)告發(fā)現(xiàn)，半數(shù)公司企業(yè)認(rèn)為其數(shù)據(jù)泄露響應(yīng)計(jì)劃的有效性 “非常高”，只有不到30%的受訪公司企業(yè)稱具備很強(qiáng)的GDPR數(shù)據(jù)泄露通報(bào)合規(guī)能力。

Experian數(shù)據(jù)泄露解決團(tuán)隊(duì)副總 Michael Bruemmer 稱：

最容易做到的就是72小時(shí)內(nèi)通告DPA了。我覺得GDPR合規(guī)自信的缺乏更像是意識(shí)的缺乏而非理解的不足。規(guī)定并沒有說你必須做完全部取證才能上報(bào)，也沒說上報(bào)的同時(shí)還要通知消費(fèi)者。未必非要等到萬事俱備才上報(bào)。你只需確保自己通告‘我們覺得自己遭遇了數(shù)據(jù)泄露；我們處于處理過程中的xx階段；我們將得出結(jié)論，如果是數(shù)據(jù)泄露的話會(huì)做出通知。

面對(duì)不確定性，很多公司采取 “報(bào)告所有事” 的方法來符合通告要求。2018年8月的 “CBI網(wǎng)絡(luò)安全：商業(yè)洞見”大會(huì)上，英國助理信息專員James Dipple-Johnstone強(qiáng)調(diào)了ICO面臨的 “過度報(bào)告” 問題。

5月25日生效以來，我們的數(shù)據(jù)泄露報(bào)告熱線每周接到500個(gè)電話。其中1/3在與我們工作人員討論之后確定自己的數(shù)據(jù)泄露未達(dá)我們的報(bào)告閾值。

為72小時(shí)做好準(zhǔn)備

確保符合數(shù)據(jù)泄露通報(bào)要求的最佳方法就是事先規(guī)劃，無論你要符合的是GDPR還是其他什么規(guī)定。要了解自己需要向誰報(bào)告，將這些合規(guī)要求融入自身事件響應(yīng)計(jì)劃，并經(jīng)常測(cè)試這些計(jì)劃。

做個(gè)計(jì)劃再照單劃勾還不足以滿足合規(guī)要求。你得清楚自己都有些什么數(shù)據(jù)，做了哪些防護(hù)。你得設(shè)置事件響應(yīng)計(jì)劃并實(shí)踐該計(jì)劃，定期更新，進(jìn)行桌面推演，盡可能保證演練真實(shí)有效。這跟消防演習(xí)沒什么不同。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)人員清楚這一點(diǎn)，但未必能推進(jìn)到網(wǎng)絡(luò)安全、規(guī)劃和數(shù)據(jù)泄露響應(yīng)層面。

EUDPS建議：

https://edps.europa.eu/sites/edp/files/publication/18-12-05_guidelines_data_breach_en_0.pdf)

英國信息專員辦公室提供的自評(píng)估服務(wù)：

https://ico.org.uk/for-organisations/report-a-breach/pdb-assessment/

歐盟DPA列表：

https://iapp.org/resources/article/how-to-notify-your-dpa-of-a-data-breach/

NCSL給出的美國各州數(shù)據(jù)泄露通報(bào)法規(guī)列表：

http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx

EDPS 2019年2月的報(bào)告：

http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf

Experian和波耐蒙聯(lián)合研究報(bào)告：

https://www.experian.com/data-breach/2019-data-breach-preparedness.html?ecd_dbres_blog_sixth_annual_preparedness_study