GDPR環境下如何報告數據泄露事件
責編:gltian |2019-04-03 14:47:43GDPR監管之下,數據泄露通告是強制的,而且必須及時。那么,一旦發生數據泄露,該報告些什么,向誰報告呢?
《通用數據保護條例》(GDPR)是指導公司企業如何處理歐盟公民個人數據的一系列規定。其33和34條要求在數據泄露發生時通報監管機構和受影響數據主體。
盡管需報告的內容在條例中作了細致規定,但何時報告和向誰報告卻不是那么清楚。你知道自己公司若想GDPR合規需在什么情況下報告數據泄露,報告哪些內容,以及向誰報告嗎?
何時報告數據泄露?
根據GDPR規定,如果發生致個人數據遭意外或非法破壞、丟失、篡改、未授權披露或訪問的事件,對公民人權及自由造成潛在風險的,涉事公司必須向數據保護機構(DPA:又稱監督機構(SA))報告。歐洲數據保護監督機構(EDPS)建議指出,盡管不是每一起信息安全事件都是個人數據泄露事件,但每起個人數據泄露事件都是信息安全事件。
正如GDPR第85條列舉的,如果事件可造成個人數據失控或權益受限、歧視、身份盜竊或欺騙、經濟損失、未授權逆匿名、聲譽傷害、職業性秘密保護下的個人數據機密性喪失,或對涉事自然人造成其他任何重大經濟或社會不利情況,公司即應報告該事件。
EDPS列出的需要報告的事件包括:
- 客戶數據庫丟失或被盜(包括存儲在U盤等可移動載體上丟失)。
- 個人數據集唯一副本遭勒索軟件加密,或被控制者以不再持有的密鑰加密。
- 數據被意外刪除或被未授權人士刪除。
- 分布式拒絕服務(DDoS)攻擊致關鍵個人數據暫時無法訪問,比如醫療數據。
未能及時向數據保護機構通報數據泄露事件可致1千萬歐元或公司全球年營業額2%的高額罰款。
數據控制者的客戶支持中心僅持續幾分鐘的短暫停電,則可能無需向EDPS列出的DPA報告。即便公司認為事件無需向DPA通報,也仍需告知其數據保護官,并正式記錄該事件。
英國信息專員辦公室(ICO)提供可供確定公司是否需要報告事件的自評估服務。
向誰報告數據泄露?
一旦公司確定有必要報告數據泄露事件,應聯系相關DPA。向哪個DPA報告取決于公司自身情況:如果公司僅在某一個國家運營,或者圍繞被泄數據的所有數據收集、處理和決策都在本地完成,那公司就只需要向當地DPA報告。
如果數據跨越國界,圍繞該數據處理的決策在哪個國家做出,就應向哪個國家的DPA報告(稱為主管監督機構:LPA)。比如說,如果公司的歐洲總部在倫敦,但事件發生在負責數據處理的德國,那數據泄露事件就應報告給英國 ICO,因為英國才是圍繞數據處理的決策做出的地方。但是,如果數據決策分散多地進行——假設倫敦負責員工數據,法國負責客戶數據,那么英國ICO就是員工數據泄露事件的LSA,而法國國家信息自由委員會(CNIL)則是涉客戶信息事件的LSA。
如果公司在歐盟沒有官方機構,但仍遭遇涉及歐盟公民數據的泄露事件,根據歐盟建議,該公司必須向業務所涉每個歐盟成員國的監督機構報告。國際隱私職業協會(IAPP)給出了歐盟全部DPA的列表,并包含了每個機構相關表報或聯系信息的鏈接。
遭遇數據泄露的公司企業需在發現事件的72小時之內通報DPA。雖然措辭中有 “在可能的情況下” 這種附加說明,公司企業仍需提供延遲的原因解釋。如果公司無法立即提供全部所需材料,可以分階段上報DPA,并在知悉情況后向機構提供更多細節。
報告哪些內容?
報告事件的公司企業需回答有關數據泄露的一系列問題:
- 數據泄露何時發生
- 何時以及怎樣發現的數據泄露
- 哪類個人數據遭泄露
- 泄露了多少條記錄,影響了多少人
- 泄露對數據主體有哪些可能影響
- 公司向用戶提供服務的能力受到多大影響
- 恢復時間
- 受影響歐盟公民是否收到通知
- 公司正在采取或將要采取的緩解及預防此類事件的措施有哪些
大多數DPA在其網站上都有數據泄露通報表格模板。
公司企業還應通知受數據泄露影響的個人。如果受影響個人的權利和自由面臨 “高風險”,EDPS規定公司企業必須 “無不當延遲” 地通知受影響個人。通知受影響人員時,公司企業需說明個人數據泄露的性質,并給出相關自然人緩解潛在負面影響的建議。
不同行業需遵從的監管法規不同,除GDPR之外,可能還要遵循其他數據保護規定報告事件,比如HIPAA、PIPEDA或eIDAS。美國州議會聯會(NCSL)提供了各州數據泄露通報法規列表。
數據泄露通報挑戰
Redscan依據《信息自由法案》提出的申請發現,GDPR生效之前公司企業向英國ICO報告數據泄露平均要花費21天,有家公司甚至拖了142天。93%的公司企業未指出數據泄露的影響,或在報告時尚不知悉事件影響。
2019年2月的報告中,EDPS稱自2018年5月GDPR生效后共收到了6.46萬件數據泄露通報。《CSO》雜志的數據顯示,2017年6月到10月自報告數據泄露平均數量僅為250件。GDPR生效后每月平均報告數量同期環比猛漲,達到每月1,400件之多。
然而,GDPR數據泄露通報似乎令公司企業很是頭疼,Experian和波耐蒙就數據泄露解決所做的聯合研究報告發現,半數公司企業認為其數據泄露響應計劃的有效性 “非常高”,只有不到30%的受訪公司企業稱具備很強的GDPR數據泄露通報合規能力。
Experian數據泄露解決團隊副總 Michael Bruemmer 稱:
最容易做到的就是72小時內通告DPA了。我覺得GDPR合規自信的缺乏更像是意識的缺乏而非理解的不足。規定并沒有說你必須做完全部取證才能上報,也沒說上報的同時還要通知消費者。未必非要等到萬事俱備才上報。你只需確保自己通告‘我們覺得自己遭遇了數據泄露;我們處于處理過程中的xx階段;我們將得出結論,如果是數據泄露的話會做出通知。
面對不確定性,很多公司采取 “報告所有事” 的方法來符合通告要求。2018年8月的 “CBI網絡安全:商業洞見”大會上,英國助理信息專員James Dipple-Johnstone強調了ICO面臨的 “過度報告” 問題。
5月25日生效以來,我們的數據泄露報告熱線每周接到500個電話。其中1/3在與我們工作人員討論之后確定自己的數據泄露未達我們的報告閾值。
為72小時做好準備
確保符合數據泄露通報要求的最佳方法就是事先規劃,無論你要符合的是GDPR還是其他什么規定。要了解自己需要向誰報告,將這些合規要求融入自身事件響應計劃,并經常測試這些計劃。
做個計劃再照單劃勾還不足以滿足合規要求。你得清楚自己都有些什么數據,做了哪些防護。你得設置事件響應計劃并實踐該計劃,定期更新,進行桌面推演,盡可能保證演練真實有效。這跟消防演習沒什么不同。業務連續性和災難恢復人員清楚這一點,但未必能推進到網絡安全、規劃和數據泄露響應層面。
EUDPS建議:
https://edps.europa.eu/sites/edp/files/publication/18-12-05_guidelines_data_breach_en_0.pdf)
英國信息專員辦公室提供的自評估服務:
https://ico.org.uk/for-organisations/report-a-breach/pdb-assessment/
歐盟DPA列表:
https://iapp.org/resources/article/how-to-notify-your-dpa-of-a-data-breach/
NCSL給出的美國各州數據泄露通報法規列表:
http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx
EDPS 2019年2月的報告:
http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
Experian和波耐蒙聯合研究報告:
https://www.experian.com/data-breach/2019-data-breach-preparedness.html?ecd_dbres_blog_sixth_annual_preparedness_study