EDPB发布个人数据泄露通知指南
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
欧盟数据保护委员会(European Data Protection Board,“EDPB”)于当地时间2022年10月10日发布了《关于GDPR下的个人数据泄露通知的第9/2022号指南》(Guidelines 9/2022 on personal data breach notification under GDPR,下称“《9/2022号指南》”)。在进行公众咨询后,该指南的最终版于2023年3月28日通过,并于2023年4月4日公开。
获取指南PDF版本,请点击文末“阅读原文”。
根据欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)第4(12)条,“个人数据泄露”(“personal data breach”)是指由于违反安全(breach of security)而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。
结合GDPR第33至34条要求,《9/2022号指南》就发生个人数据泄露事件时,数据控制者的通知流程基本梳理如下。
可点击查看大图
同时,《9/2022号指南》就前述流程中的关键问题进一步进行了澄清或指引。
1. 个人数据泄露的认定及风险评估
《9/2022号指南》指出,并非所有安全事件都涉及个人数据泄露。个人数据泄露包括对个人数据的保密性、完整性和可用性造成损害。其中,可用性损害的例子包括数据被意外删除、被未经授权的人删除、丢失解密密钥、数据的可访问性因组织服务遭受严重干扰而受阻等。《9/2022号指南》特别指出,导致数据在一段时间内不可访问也可能会对个人的权利和自由产生重大影响,如医院在特定时间内无法获得患者的关键医疗数据,此时也应当通知个人。
当确定发生个人数据泄露后,控制者应当立即评估其是否可能对自然人的权利与自由带来(高)风险,以确定是否需履行向监管机构报告或通知数据主体的义务。《9/2022号指南》提出,风险包括物理、物质或非物质损害,如歧视、身份盗窃或欺诈、经济损失和名誉损害。评估风险时应进行个案判断,并综合考虑:(1)泄露的类型(如合作方违反保密协议导致的数据泄露和数据丢失后不再可用这两种个人数据泄露对个人的影响不同);(2)所泄露的个人数据的性质、敏感性和数量;(3)所泄露的个人数据是否易于识别个人;(4)泄露对个人产生后果的严重性;(5)所涉及个人的特殊性(如影响儿童);(6)数据控制者的特殊性(如医疗组织);(7)受影响的人数;(8)其他评估泄露风险的一般考虑要素,如ENISA发布的相关意见[注1]。
《9/2022号指南》亦给出了部分风险判断的示例。例如,当泄露涉及敏感个人数据时,应被认定为存在风险;如个人数据已经合法公开,或加密数据虽然泄露,但其对应的密钥未泄露时,可认定为不会产生风险。
2. 向监管机构报告义务的履行
根据GDPR第33条要求,数据控制者应在意识到发生了个人数据泄露后的72小时内,根据要求向监管机构报告;除非“个人数据泄露对于自然人的权利与自由不太可能会带来风险”。
《9/2022号指南》进一步解释了如下问题:
报告的时间。《9/2022号指南》提出,当数据控制者意识到丢失了带有未加密个人数据的USB密钥,检测到存在网络入侵行为且发生了数据泄露,或经数据处理者通知时,应认定为其已意识到数据泄露的发生;当其被第三方告知可能发生个人数据泄露时,应立即启动已搭建的快速调查程序,一旦以合理程度的确定性确定发生了个人数据泄露,也应认定为“意识到”。如以相同方式在相对较短的时间内发生了多起相同类型个人数据的泄露,则数据控制者可以将此类事件一揽子报告,此时,可以延迟报告(指在首次意识到泄露行为的72小时后)。
报告的义务主体及对象。数据控制者负有报告义务。共同控制者之间建议通过合同形式确定发生个人数据泄露时的通知义务分配;处理者在意识到发生个人数据泄露后应立即通知所有涉及的控制者,而无需进行进一步的评估,并可分阶段提供信息,以更好地帮助控制者履行义务。对于涉及个人数据跨境处理的数据泄露,如企业在欧盟境内有实体(establishment),则由该实体直接上报牵头监管机构 ( lead supervisory authority,LSA),并触发“一站式服务系统” (one-stop-shop system),即无论数据泄露事件是否涉及LSA所在国的居民,均可上报LSA,由LSA与各国监管机构进行协调处理;若无,则应通过欧盟代表向所有受影响的数据主体所在成员国监管机构通知个人数据泄露事件。
报告的内容。GDPR第33(3)条规定了控制者向监管机构报告的内容[注2],其中,如特定类型的主体或数据可能因泄露造成特定损害,则应当列明涉及的特定类型。如影响程度等暂不清晰,则可根据GDPR第33(4)条要求分阶段报告。
3. 向数据主体通知义务的履行
根据GDPR第34条规定,当个人数据泄露很可能给自然人的权利与自由带来高风险时,控制者应当及时向数据主体通知个人数据泄露,并明确了通知需包含的内容[注3],及无需通知的情形[注4]。《9/2022号指南》列举了可能导致个人面临高风险的情况,如由于网络攻击,医院的医疗记录在30小时内无法使用。
同时,《9/2022号指南》就通知形式给出了建议,如通过电子邮件、短信、直接消息、显著的网站横幅或通知等专门发送信息(即不与其他信息混同),且信息应以接收方可理解的语言呈现,如与既往服务往来时使用的语言一致。
[注]
[1]ENISA,关于个人数据泄露严重性评估方法的建议,https://www.enisa.europa.eu/publications/dbn-severity。
[2]GDPR第33(3)条:第1段所规定的告知应当至少包括:
(a)描述个人数据泄露的性质,在可能的情形下,描述包括相关数据主体的类型和大致数量,以及涉及到个人数据的类型与大致数量;
(b)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;
(c)描述个人数据泄露的可能后果;
(d)描述控制者应对个人数据泄露已经采用或计划采用的措施,包括——如果合适的话——减少负面影响的措施。
[3]GDPR第34(2)条:本条第1段所规定的向数据主体传达,应当以清晰和平白的语言传达个人数据泄露的性质,并且应当至少包括第33(3)条(b)(c)(d)点所提供的信息与建议。
[4]GDPR第34(3)条:当满足如下情形之一时,不要求控制者告知数据主体其个人数据被泄露的信息:
(a)控制者已经采取合适的技术与组织保证措施,并且那些措施已经应用于那些被个人数据泄露所影响的个人数据,特别是已经应用那些使得未被授权访问的个人无法辨识个人数据的措施,例如加密;
(b)控制者已经采取后续措施,保证第1段所规定的给数据主体的权利与自由带来的高风险不再有实现的可能;
(c)告知将需要付出不相称的努力。此时,应存在公告机制或类似措施来承担控制者的告知义务,并且与控制者告知相比,这种措施的告知效果应当至少有相同效果。
★
全文
★
Guidelines 9/2022 on personal data breach notification under GDPR
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪