压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

GDPR監(jiān)管之下，數(shù)據(jù)泄露通告是強制的，而且必須及時。那么，一旦發(fā)生數(shù)據(jù)泄露，該報告些什么，向誰報告呢？

《通用數(shù)據(jù)保護條例》(GDPR)是指導公司企業(yè)如何處理歐盟公民個人數(shù)據(jù)的一系列規(guī)定。其33和34條要求在數(shù)據(jù)泄露發(fā)生時通報監(jiān)管機構和受影響數(shù)據(jù)主體。

盡管需報告的內(nèi)容在條例中作了細致規(guī)定，但何時報告和向誰報告卻不是那么清楚。你知道自己公司若想GDPR合規(guī)需在什么情況下報告數(shù)據(jù)泄露，報告哪些內(nèi)容，以及向誰報告嗎？

何時報告數(shù)據(jù)泄露？

根據(jù)GDPR規(guī)定，如果發(fā)生致個人數(shù)據(jù)遭意外或非法破壞、丟失、篡改、未授權披露或訪問的事件，對公民人權及自由造成潛在風險的，涉事公司必須向數(shù)據(jù)保護機構（DPA：又稱監(jiān)督機構(SA)）報告。歐洲數(shù)據(jù)保護監(jiān)督機構(EDPS)建議指出，盡管不是每一起信息安全事件都是個人數(shù)據(jù)泄露事件，但每起個人數(shù)據(jù)泄露事件都是信息安全事件。

正如GDPR第85條列舉的，如果事件可造成個人數(shù)據(jù)失控或權益受限、歧視、身份盜竊或欺騙、經(jīng)濟損失、未授權逆匿名、聲譽傷害、職業(yè)性秘密保護下的個人數(shù)據(jù)機密性喪失，或對涉事自然人造成其他任何重大經(jīng)濟或社會不利情況，公司即應報告該事件。

EDPS列出的需要報告的事件包括：

• 客戶數(shù)據(jù)庫丟失或被盜(包括存儲在U盤等可移動載體上丟失)。
• 個人數(shù)據(jù)集唯一副本遭勒索軟件加密，或被控制者以不再持有的密鑰加密。
• 數(shù)據(jù)被意外刪除或被未授權人士刪除。
• 分布式拒絕服務(DDoS)攻擊致關鍵個人數(shù)據(jù)暫時無法訪問，比如醫(yī)療數(shù)據(jù)。

未能及時向數(shù)據(jù)保護機構通報數(shù)據(jù)泄露事件可致1千萬歐元或公司全球年營業(yè)額2%的高額罰款。

數(shù)據(jù)控制者的客戶支持中心僅持續(xù)幾分鐘的短暫停電，則可能無需向EDPS列出的DPA報告。即便公司認為事件無需向DPA通報，也仍需告知其數(shù)據(jù)保護官，并正式記錄該事件。

英國信息專員辦公室(ICO)提供可供確定公司是否需要報告事件的自評估服務。

向誰報告數(shù)據(jù)泄露？

一旦公司確定有必要報告數(shù)據(jù)泄露事件，應聯(lián)系相關DPA。向哪個DPA報告取決于公司自身情況：如果公司僅在某一個國家運營，或者圍繞被泄數(shù)據(jù)的所有數(shù)據(jù)收集、處理和決策都在本地完成，那公司就只需要向當?shù)谼PA報告。

如果數(shù)據(jù)跨越國界，圍繞該數(shù)據(jù)處理的決策在哪個國家做出，就應向哪個國家的DPA報告（稱為主管監(jiān)督機構：LPA)。比如說，如果公司的歐洲總部在倫敦，但事件發(fā)生在負責數(shù)據(jù)處理的德國，那數(shù)據(jù)泄露事件就應報告給英國 ICO，因為英國才是圍繞數(shù)據(jù)處理的決策做出的地方。但是，如果數(shù)據(jù)決策分散多地進行——假設倫敦負責員工數(shù)據(jù)，法國負責客戶數(shù)據(jù)，那么英國ICO就是員工數(shù)據(jù)泄露事件的LSA，而法國國家信息自由委員會(CNIL)則是涉客戶信息事件的LSA。

如果公司在歐盟沒有官方機構，但仍遭遇涉及歐盟公民數(shù)據(jù)的泄露事件，根據(jù)歐盟建議，該公司必須向業(yè)務所涉每個歐盟成員國的監(jiān)督機構報告。國際隱私職業(yè)協(xié)會(IAPP)給出了歐盟全部DPA的列表，并包含了每個機構相關表報或聯(lián)系信息的鏈接。

遭遇數(shù)據(jù)泄露的公司企業(yè)需在發(fā)現(xiàn)事件的72小時之內(nèi)通報DPA。雖然措辭中有 “在可能的情況下” 這種附加說明，公司企業(yè)仍需提供延遲的原因解釋。如果公司無法立即提供全部所需材料，可以分階段上報DPA，并在知悉情況后向機構提供更多細節(jié)。

報告哪些內(nèi)容？

報告事件的公司企業(yè)需回答有關數(shù)據(jù)泄露的一系列問題：

• 數(shù)據(jù)泄露何時發(fā)生
• 何時以及怎樣發(fā)現(xiàn)的數(shù)據(jù)泄露
• 哪類個人數(shù)據(jù)遭泄露
• 泄露了多少條記錄，影響了多少人
• 泄露對數(shù)據(jù)主體有哪些可能影響
• 公司向用戶提供服務的能力受到多大影響
• 恢復時間
• 受影響歐盟公民是否收到通知
• 公司正在采取或將要采取的緩解及預防此類事件的措施有哪些

大多數(shù)DPA在其網(wǎng)站上都有數(shù)據(jù)泄露通報表格模板。

公司企業(yè)還應通知受數(shù)據(jù)泄露影響的個人。如果受影響個人的權利和自由面臨 “高風險”，EDPS規(guī)定公司企業(yè)必須 “無不當延遲” 地通知受影響個人。通知受影響人員時，公司企業(yè)需說明個人數(shù)據(jù)泄露的性質，并給出相關自然人緩解潛在負面影響的建議。

不同行業(yè)需遵從的監(jiān)管法規(guī)不同，除GDPR之外，可能還要遵循其他數(shù)據(jù)保護規(guī)定報告事件，比如HIPAA、PIPEDA或eIDAS。美國州議會聯(lián)會(NCSL)提供了各州數(shù)據(jù)泄露通報法規(guī)列表。

數(shù)據(jù)泄露通報挑戰(zhàn)

Redscan依據(jù)《信息自由法案》提出的申請發(fā)現(xiàn)，GDPR生效之前公司企業(yè)向英國ICO報告數(shù)據(jù)泄露平均要花費21天，有家公司甚至拖了142天。93%的公司企業(yè)未指出數(shù)據(jù)泄露的影響，或在報告時尚不知悉事件影響。

2019年2月的報告中，EDPS稱自2018年5月GDPR生效后共收到了6.46萬件數(shù)據(jù)泄露通報。《CSO》雜志的數(shù)據(jù)顯示，2017年6月到10月自報告數(shù)據(jù)泄露平均數(shù)量僅為250件。GDPR生效后每月平均報告數(shù)量同期環(huán)比猛漲，達到每月1,400件之多。

然而，GDPR數(shù)據(jù)泄露通報似乎令公司企業(yè)很是頭疼，Experian和波耐蒙就數(shù)據(jù)泄露解決所做的聯(lián)合研究報告發(fā)現(xiàn)，半數(shù)公司企業(yè)認為其數(shù)據(jù)泄露響應計劃的有效性 “非常高”，只有不到30%的受訪公司企業(yè)稱具備很強的GDPR數(shù)據(jù)泄露通報合規(guī)能力。

Experian數(shù)據(jù)泄露解決團隊副總 Michael Bruemmer 稱：

最容易做到的就是72小時內(nèi)通告DPA了。我覺得GDPR合規(guī)自信的缺乏更像是意識的缺乏而非理解的不足。規(guī)定并沒有說你必須做完全部取證才能上報，也沒說上報的同時還要通知消費者。未必非要等到萬事俱備才上報。你只需確保自己通告‘我們覺得自己遭遇了數(shù)據(jù)泄露；我們處于處理過程中的xx階段；我們將得出結論，如果是數(shù)據(jù)泄露的話會做出通知。

面對不確定性，很多公司采取 “報告所有事” 的方法來符合通告要求。2018年8月的 “CBI網(wǎng)絡安全：商業(yè)洞見”大會上，英國助理信息專員James Dipple-Johnstone強調(diào)了ICO面臨的 “過度報告” 問題。

5月25日生效以來，我們的數(shù)據(jù)泄露報告熱線每周接到500個電話。其中1/3在與我們工作人員討論之后確定自己的數(shù)據(jù)泄露未達我們的報告閾值。

為72小時做好準備

確保符合數(shù)據(jù)泄露通報要求的最佳方法就是事先規(guī)劃，無論你要符合的是GDPR還是其他什么規(guī)定。要了解自己需要向誰報告，將這些合規(guī)要求融入自身事件響應計劃，并經(jīng)常測試這些計劃。

做個計劃再照單劃勾還不足以滿足合規(guī)要求。你得清楚自己都有些什么數(shù)據(jù)，做了哪些防護。你得設置事件響應計劃并實踐該計劃，定期更新，進行桌面推演，盡可能保證演練真實有效。這跟消防演習沒什么不同。業(yè)務連續(xù)性和災難恢復人員清楚這一點，但未必能推進到網(wǎng)絡安全、規(guī)劃和數(shù)據(jù)泄露響應層面。

EUDPS建議：

https://edps.europa.eu/sites/edp/files/publication/18-12-05_guidelines_data_breach_en_0.pdf)

英國信息專員辦公室提供的自評估服務：

https://ico.org.uk/for-organisations/report-a-breach/pdb-assessment/

歐盟DPA列表：

https://iapp.org/resources/article/how-to-notify-your-dpa-of-a-data-breach/

NCSL給出的美國各州數(shù)據(jù)泄露通報法規(guī)列表：

http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx

EDPS 2019年2月的報告：

http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf

Experian和波耐蒙聯(lián)合研究報告：

https://www.experian.com/data-breach/2019-data-breach-preparedness.html?ecd_dbres_blog_sixth_annual_preparedness_study