5月25日以来,我们每天都会收到有关顶级公司安全漏洞导致客户数据大量曝光的新闻报道。

尽管听起来不可思议,但事实上自2016年4月27日《欧洲议会和理事会关于个人数据处理和自由传输过程中保护自然人的条例》(以下简称“《GDPR条例》”)实施以来,安全漏洞事件的数量并未增加。实际上,直到现在,根据我国法律(西班牙),除公共电子通信服务提供商外,其他实体没有义务报告安全漏洞事故。现在《GDPR条例》将这一义务执行人范围扩展至存在数据处理活动的所有单位。

安全漏洞事件(security incident)是指,内部或者外部原因导致,个人数据遭到故意或过失破坏、丢失或篡改等。为避免发生此类事件,企业应当着重留意:(1)制定安全漏洞事件管理制度;(2)建立安全事件风险评估方式;以及,(3)根据安全事件特征和对数据主体造成的风险等级,判断是否应当向监管机构和数据主体报告。

依据《GDPR条例》规定,当安全事件可能对数据主体带来风险时,必须在察觉(有实际证据)安全事件发生之后72小时内通知有关监管机构。如果该安全事件可能使数据主体面临高风险时,应当在监管机构的监管下,同时通知受安全事件影响的数据主体,声明所述通知不会影响未决调查的结果,以及调查结果将在稍后阶段发布等。

此外,建立及时响应机制并努力减少安全事件的后续影响也至关重要,应当采取安全措施防止再次发生访问、篡改或者读取相关数据等情况。

只有采取预防措施才有可能有效避免实际执行上述各种法律义务。尽采取一切措施避免出现安全漏洞,防止发生未经授权读取和修改相关数据,以及制定安全事件响应流程等。

欧洲数据保护委员会(前“第29条工作组”)发布《报告安全漏洞事件指南》,对该主题下相关疑问作出解答。2018年6月19日,西班牙数据保护局也公布了《管理和报告安全漏洞事件指南》,涉及监测、管理和评估通知安全漏洞事件等方面的问题。

作者:Martín BelloCristina Espín

访问我们的网站:http://www.elzaburu.es/en