4.7 个人数据泄露通知
在 20 世纪之交前后,欧盟和美国开始制定法律,要求向数据主体通报个人数据泄露事件。奇怪的是,这种模式与数据保护法的总体发展相反,欧盟的通知要求首先出现在狭义的主题领域,而美国各州(从加利福尼亚开始)实施了更普遍的通知义务个人数据泄露的人。
GDPR标志着欧洲出现了个人数据处理者和控制者的一般责任,即在“个人数据泄露”后发出某些通知,这被定义为“导致意外或非法破坏的安全漏洞”、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据”( GDPR ,第4(12) 条)。因此,个人数据泄露、未经授权修改个人数据和勒索软件等各种事件都可能构成个人数据泄露。
处理者必须“无不当延迟”地将违规情况通知相关控制者。然后,要求控制者将违规行为通知相关监管机构,“不得无故拖延,并且在可行的情况下,不得迟于发现违规行为后的 72 小时”( GDPR ,第 33(1)-(2) 条)。通知的内容载于第 33(3) 条。如果违规行为“不太可能对自然人的权利和自由造成风险”,则控制人有义务通知监管机构的有限例外情况。无论是否通知监管机构,控制者都必须记录所有此类违规事件,并且这些记录必须接受监管机构的定期审查。
如果此类违规行为“可能对自然人的权利和自由造成高风险”,则要求控制者将违规情况告知相关数据主体,不得无故拖延( GDPR ,第 34 条( 1)-(2))。如果控制者实施了限制此类违规可能造成的损害的方法,例如加密然后作为密文提取的数据,则可以避免与数据主体的通信。虽然出于法律目的,此类密文仍然是个人数据,但数据的加密状态在一定程度上减少了对数据主体的潜在损害(取决于加密类型等)。这种在不太可能造成损害时避免与数据主体通信的能力是GDPR 的一个有用功能. 许多美国州通知法最初要求通知数据主体,而不管违规行为带来的相关风险如何。如果数据主体不同意控制者的风险评估,监管机构保留强制与数据主体就违规行为进行沟通的权利。
世界各地的各个州继续采用强制性的违规披露法律,每个州都有自己独特的特点。
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1法律法规(十七) 个人数据泄露通知
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论