华诚数据 | GDPR下的数据违规事件响应与处理

吴月琴 赵思韵

主旨

依据GDPR 第32条，数据控制者和处理者应当“执行合适的技术措施和有管理措施，以保证合理应对风险的安全水平”，但这并不能完全排除数据安全事件的发生。当数据违规对数据主体的权利和自由产生风险时，数据控制者应需要采取行动。

本文主要讨论什么是个人数据违规事件，如何评估风险以及GDPR要求应采取哪些措施。

1、评估数据违规风险

依据GDPR 第4（12）条， “个人数据违规”在GDPR中被定义为：“违反安全规定导致所传输、储存或以其他方式处理的个人数据遭受意外或非法破坏、丢失、变更、未经授权的披露或访问。”

风险评估：依据GDPR第85条，如果个人数据泄露不能被及时处理，将会导致自然人身体、物质或非物质损害，例如丧失对其个人资料控制权受到限制、歧视、身份盗窃或欺诈、财务损失、未经授权的使用假证、损害名誉、因职业保密而受到保护的个人资料泄露或任何其他重大经济或社会不利因素。

进行风险评估时，应考虑对数据主体权利和自由产生风险的可能性和严重性。

评估时应考虑以下因素：

（1）违规类型（例如：机密性，完整性或可用性受损）

（2）个人数据的性质，敏感性及数量

（3）识别个人的难易度

（4）对于个人后果的严重性（特别是违规可能会导致身份盗窃或欺诈，或当控制人意识到个人数据在某些意图恶意的人手中）。

（5）受影响的个人的特殊性

（6）数据控制者的特殊性

（7）受影响的数据主体数量

2、及时通知监管机构

依据GDPR第33条第1款，“在发生个人数据泄露的情况下，控制者应无延迟地、并在可行的情况下，在知道此事后的72小时内，将个人数据泄露事件通知符合第55条规定的主管部门，除非该数据泄露不太可能导致对自然人权利及自由的风险。如果通知没有在72小时内发出，应附上延迟理由。”

1.意识：何时应当认定控制者已“意识到”？当控制者有合理程度的把握认为发生了安全事件，导致个人数据被泄露，则被视为已经“意识到”。考虑到GDPR要求控制者实施一切适当的技术和管理措施，以立即确定是否发生了违规行为，并迅速通知监管机构和数据主体，这就要求控制者有义务确保能及时“意识到”任何违规行为，以便采取适当的措施。

2.调查：在控制者首次被告知有潜在违规或当自己发现数据安全事件时，可以进行一次短时间的调查，以确定该事件是否实际发生。在此调查期间，控制者可能不被认定为“意识到” 。但是，首次调查应尽快展开，以便对该事件是否发生建立合理确认。之后可进行更细节的调查。

3.通知时间：控制者需“无延迟地”、“在可行的情况下，在意识到数据泄露的72小时内”通知监管机构。若通知没有在72小时内发出，则需附上延迟原因。

4.通知内容：根据GDPR第33条第3款，通知至少应：

（1）数据泄露性质描述，具体包括在可能获取的涉事主体类别和大致数目，以及所涉个人数据记录的类别和大致数目；

（2）数据保护负责人或其他能够提供更多信息的联络点的名称及联系方式；

（3）数据泄露潜在后果描述；

（4）数据控制者为处理数据泄露而采取或拟采取的措施的描述，包括在适当的情况下缓释数据泄露导致的潜在不利影响的措施。

5.模式：若当下不能一时提供所有信息则可以分阶段进行通知。如何通知？可通过使用数据保护机构网站上的表格进行通知。

3、及时通知数据主体

依据GDPR第34条第1款，“当个人数据违规可能对自然人的权利和自由造成很大风险时，数据控制者应不拖延地与数据主体沟通数据违规的情况”。与数据主体沟通的主要目的是向他们提供具体信息，以便个人采取措施保护自己。

1）.通知强制性：当对数据主体的自由和权利风险很大时，数据控制者与他们的沟通是强制性的。

但是，依据GDPR第34条第三款，存在以下情形时，数据泄露通知可以有条件豁免:

（1）根据数据泄露性质或因为数据控制者随后采取了适当的措施，数据泄露不太可能对受影响数据主体的权利和自由构成重大危险；

（2）适当的技术性和组织性措施已经实施，且已作用于受影响的个人数据；

（3）通知成本耗费过于巨大。在这种情况下，数据控制者有义务通过大众传媒或类似渠道通知数据主体。但如果数据控制者可以包括电子邮件在内等的电子形式与数据主体取得联系，则数据控制者不得认定其属于耗费巨大的情况。

2）.通知时间：GDPR要求沟通不能有不当延迟，需要尽快，以帮助数据主体采取措施，保护他们自己免受违规行为的负面影响。

如果过早的通知与披露有可能也会不必要地妨碍执法部门对个人资料泄露原因与责任的调查，根据执法部门的建议，控制人可以推迟向数据主体通报违规事件，直到不影响执法机关的调查。

3）.通知内容：与数据主体的通知内容应至少提供下列信息：

（1）对违规性质的描述

（2）数据保护负责人或其他能够提供更多信息的联络点的名称及联系方式；

（3）描述个人数据违规可能的后果

（4）描述控制者采取的或计划采取的措施，包括能够减轻不利影响的措施

4）.通知方式

•应专门发送一条关于数据违规的信息。信息不应通过其他方式发出，比如新闻；

•沟通应为有效沟通，比如通过直接消息（例如：邮件，短信或其他个人信息方式），显著的网站横幅或通知，或邮政通信；

•推荐使用多种沟通方式，以最大程度增加对所有受影响的数据主体的有效沟通；

•沟通应以相关语言进行，以确保数据主体能够了解所提供的信息：以在之前与接收方的正常业务过程中使用的语言是最合适的。

5）.通知记录

依据GDPR第33条第5款，“数据控制者应记录任何个人数据泄露事件，包括与个人数据泄露有关的事实、影响和采取的补救措施。这些记录文件应能使监管机构能够核实本条款的遵守情况。” 无论何种沟通和通知方式，控制者必须保留所有违规行为的文件。

4、我们的建议

我们建议，公司应至少执行“2+1”的数据违规响应及处理方案

1、提前制作《数据泄露通知规则与程序》，以适用于个人数据泄露时的通知，并适当考虑违约情况，包括个人数据是否被适当的采取了技术保护措施，是否能有效地限制了身份欺诈或其他形式的滥用的可能性；

2、提前制作《数据泄露应对预案》，鉴于数据泄漏发生后，通知监管机构和数据主体的时间有限，公司组织架构内应做好数据泄露应对计划，列明在发生数据泄露时须采取的行动计划，包括协调应对组织机制及联系人、检查清单和后续措施等。跨国集团还应该考虑设立区域级别的数据安全事件应对梯队人员，成员可包括内外部的隐私团队、法务团队、技术专家、公关人员等。

3、应建立一个内部违规行为登记系统。监管机构可以要求查看这些记录。登记系统中的文件应至少包含：数据违规细节，例如起因，发生了什么，所涉及的个人数据，违规的后果及影响，控制者采取的补救措施。同时推荐控制者记录其应对行为所做的决定的理由（比如：延迟通知的理由，与数据主体沟通的证据等）。