歐洲數(shù)據(jù)保護(hù)專員公署（EDPS）數(shù)據(jù)泄露報(bào)告指南解讀

□ 文 吳沈括 霍文新

作者單位：北京師范大學(xué)

2018年11月21日，歐洲數(shù)據(jù)保護(hù)專員公署（EDPS，以下簡(jiǎn)稱：專員公署）發(fā)布了針對(duì)歐盟機(jī)構(gòu)和機(jī)關(guān)（以下統(tǒng)稱：歐盟機(jī)構(gòu)）的個(gè)人數(shù)據(jù)泄露報(bào)告指南（Guidelines on personal data breach notification For the European Union Institutions and Bodies）。根據(jù)新的歐盟條例也即第（EU）2018/1725號(hào)條例，所有歐盟機(jī)構(gòu)都有責(zé)任向?qū)T公署報(bào)告某些類型的個(gè)人數(shù)據(jù)泄露事件。

該指南旨在為歐盟機(jī)構(gòu)遵守關(guān)于其處理個(gè)人數(shù)據(jù)的法規(guī)相關(guān)規(guī)定提供實(shí)用建議，通過(guò)對(duì)個(gè)人數(shù)據(jù)泄露情況下個(gè)人數(shù)據(jù)保護(hù)、隱私及其他基本權(quán)利風(fēng)險(xiǎn)的評(píng)估和管理，提供建議并指出實(shí)施個(gè)人數(shù)據(jù)保護(hù)責(zé)任的最佳實(shí)踐。指南收集并整合了專員公署過(guò)去幾年給予歐盟機(jī)構(gòu)的建議，概述了歐盟機(jī)構(gòu)應(yīng)采取的應(yīng)對(duì)個(gè)人數(shù)據(jù)泄露的方法，同時(shí)在評(píng)估對(duì)第（EU）2018/1725號(hào)條例的遵守情況時(shí)，專員公署還將列出最佳實(shí)踐作為參考。

除了該指南提出的措施之外，歐盟機(jī)構(gòu)可以依據(jù)具體需求選擇其他同樣有效的措施，在這種情況下，歐盟機(jī)構(gòu)需要證明這些措施的同等保護(hù)水平。歐盟機(jī)構(gòu)應(yīng)定期對(duì)個(gè)人數(shù)據(jù)泄露程序進(jìn)行評(píng)估，保證歐盟機(jī)構(gòu)在原則上可以有效地響應(yīng)相關(guān)事故的發(fā)生，以防止或降低個(gè)人數(shù)據(jù)泄露所造成的風(fēng)險(xiǎn)。

該指南主要從以下方面展開(kāi)內(nèi)容：1.個(gè)人數(shù)據(jù)泄露的法律定義；2.個(gè)人數(shù)據(jù)泄露的評(píng)估機(jī)制；3.向?qū)T公署的報(bào)告；4.向數(shù)據(jù)主體的傳達(dá)；5.個(gè)人信息泄露事件的記錄。

一、個(gè)人數(shù)據(jù)泄露的法律定義

依據(jù)第（E U）2018/1725號(hào)條例，“個(gè)人數(shù)據(jù)泄露”是指由歐盟機(jī)構(gòu)作為控制者負(fù)責(zé)的個(gè)人數(shù)據(jù)，因違反安全規(guī)定，而意外或非法破壞、丟失、篡改、未經(jīng)授權(quán)披露或訪問(wèn)、傳輸、存儲(chǔ)或以其他方式被處理。

值得注意的是，并非所有違規(guī)行為均屬于違反安全規(guī)定，如處理行為沒(méi)有法律依據(jù)進(jìn)而導(dǎo)致數(shù)據(jù)信息不完整的行為。與信息安全事件相關(guān)的并非都是個(gè)人數(shù)據(jù)泄露事件，但個(gè)人數(shù)據(jù)泄露事件則均被定義為信息安全事件。

第29條工作組定義了三種類型的個(gè)人數(shù)據(jù)泄露：1.未經(jīng)授權(quán)或意外披露、訪問(wèn)個(gè)人數(shù)據(jù)；2.意外或未經(jīng)授權(quán)破壞個(gè)人數(shù)據(jù)或失去了對(duì)個(gè)人數(shù)據(jù)訪問(wèn)的控制；3.未經(jīng)授權(quán)或意外更改個(gè)人數(shù)據(jù)，即個(gè)人數(shù)據(jù)的不當(dāng)修改。

二、個(gè)人數(shù)據(jù)泄露的評(píng)估機(jī)制

風(fēng)險(xiǎn)評(píng)估方法以歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）相關(guān)評(píng)估規(guī)則為標(biāo)準(zhǔn)，違規(guī)的嚴(yán)重程度需要根據(jù)具體情況進(jìn)行評(píng)估，評(píng)估的基本考慮要素應(yīng)以“對(duì)自然人權(quán)利和自由造成的風(fēng)險(xiǎn)程度”為依據(jù)。

首先，歐盟機(jī)構(gòu)應(yīng)當(dāng)有完善的安全事件管理流程，在評(píng)估事件時(shí)應(yīng)檢測(cè)個(gè)人數(shù)據(jù)是否受到影響，如有影響應(yīng)立即向數(shù)據(jù)保護(hù)官（DPO）進(jìn)行咨詢，如被認(rèn)定為個(gè)人數(shù)據(jù)泄露事故，則進(jìn)行后續(xù)評(píng)估工作。個(gè)人數(shù)據(jù)泄露認(rèn)定的必要條件是所涉及的數(shù)據(jù)類型為個(gè)人數(shù)據(jù)，且該個(gè)人數(shù)據(jù)應(yīng)能被識(shí)別。

其次，在評(píng)估風(fēng)險(xiǎn)時(shí)，應(yīng)考慮對(duì)數(shù)據(jù)主體的權(quán)利和自由產(chǎn)生不利影響的可能性和嚴(yán)重性，然后進(jìn)行客觀性風(fēng)險(xiǎn)評(píng)估。此步驟非常關(guān)鍵，因?yàn)樗鼮闅W盟機(jī)構(gòu)賦予了作為控制者的報(bào)告義務(wù)。所謂客觀評(píng)估是指，歐盟機(jī)構(gòu)應(yīng)在數(shù)據(jù)泄露管理程序或單獨(dú)程序中整合分步指導(dǎo)以及方法等。

評(píng)估的主要內(nèi)容：1.數(shù)據(jù)類型；2.個(gè)人數(shù)據(jù)的性質(zhì)、敏感度和數(shù)量；3.識(shí)別數(shù)據(jù)主體的程度；4.對(duì)數(shù)據(jù)主體造成后果的嚴(yán)重程度；5.數(shù)據(jù)主體是否具有特殊性；6.數(shù)據(jù)控制者是否具有特殊性；7.受影響的主體數(shù)量等。上述因素都需要仔細(xì)評(píng)估以判斷每一個(gè)因素單獨(dú)或與其他因素相結(jié)合后對(duì)數(shù)據(jù)主體所造層的風(fēng)險(xiǎn)程度。

三、向?qū)T公署的報(bào)告

歐盟機(jī)構(gòu)應(yīng)在不遲于72小時(shí)內(nèi)向?qū)T公署報(bào)告?zhèn)€人數(shù)據(jù)泄露事件，除非該泄露事故不太可能對(duì)數(shù)據(jù)主體的權(quán)利和自由造成風(fēng)險(xiǎn)。

1.報(bào)告要求

數(shù)據(jù)控制者應(yīng)在發(fā)現(xiàn)數(shù)據(jù)泄露后不遲于72小時(shí)向?qū)T公署發(fā)送報(bào)告，如果超出72小時(shí)的時(shí)限，應(yīng)提供證明表明延誤理由的正當(dāng)性。如果風(fēng)險(xiǎn)不大，則無(wú)須報(bào)告專員公署，但是數(shù)據(jù)控制者應(yīng)通知數(shù)據(jù)保護(hù)官并記錄事件行為。

數(shù)據(jù)控制者向?qū)T公署發(fā)送的報(bào)告中應(yīng)包含以下內(nèi)容：（1）個(gè)人數(shù)據(jù)泄露事故性質(zhì)的描述，包括可能的數(shù)據(jù)主體的類別和大致數(shù)量以及相關(guān)個(gè)人數(shù)據(jù)的類別和大致數(shù)量；（2）數(shù)據(jù)保護(hù)官的名稱和聯(lián)系方式；（3）對(duì)個(gè)人數(shù)據(jù)泄露可能后果的具體描述；（4）為解決個(gè)人數(shù)據(jù)泄露而采取或建議采取的措施的具體描述。

2.分階段報(bào)告

根據(jù)數(shù)據(jù)泄露的性質(zhì)，歐盟機(jī)構(gòu)應(yīng)進(jìn)一步進(jìn)行調(diào)查以確定數(shù)據(jù)泄露的事實(shí)，同時(shí)將相關(guān)信息分階段提供給專員公署。

歐盟機(jī)構(gòu)應(yīng)當(dāng)在數(shù)據(jù)泄露事故行為中迅速采取行動(dòng)，盡可能恢復(fù)受損數(shù)據(jù)并向?qū)T公署尋求建議。如果數(shù)據(jù)控制者的管理員尚未掌握所有必要信息，則應(yīng)報(bào)告專員公署，并在稍后提供更多詳細(xì)信息，并就如何以及何時(shí)提供信息達(dá)成一致。

四、向數(shù)據(jù)主體的傳達(dá)

如果個(gè)人數(shù)據(jù)泄露導(dǎo)致個(gè)人權(quán)利和自由受到高風(fēng)險(xiǎn)的威脅，歐盟機(jī)構(gòu)應(yīng)將該信息傳達(dá)給數(shù)據(jù)主體且不得無(wú)故拖延。在這種情況下，傳達(dá)信息并沒(méi)有具體的時(shí)間限制，但應(yīng)盡快進(jìn)行，同時(shí)鑒于此時(shí)風(fēng)險(xiǎn)較高，數(shù)據(jù)控制者應(yīng)采取必要的預(yù)防措施。

傳達(dá)信息的內(nèi)容，應(yīng)當(dāng)對(duì)個(gè)人數(shù)據(jù)泄露的性質(zhì)以及對(duì)減輕潛在不利影響的建議進(jìn)行必要說(shuō)明，傳達(dá)方式應(yīng)在合理可行的情況下盡快進(jìn)行，且可以選擇與專員公署密切合作并遵守其提供的指導(dǎo)。向數(shù)據(jù)主體傳達(dá)的信息內(nèi)容應(yīng)當(dāng)包括個(gè)人數(shù)據(jù)泄露的性質(zhì)以及可能的后果的說(shuō)明。歐盟機(jī)構(gòu)還應(yīng)酌情向個(gè)人提供具體建議，以保護(hù)數(shù)據(jù)主體免受違規(guī)行為可能產(chǎn)生的不利后果。

根據(jù)問(wèn)責(zé)制原則，如果數(shù)據(jù)控制者決定不向受影響的數(shù)據(jù)主體傳達(dá)違規(guī)行為，則必須向?qū)T公署進(jìn)行說(shuō)明。如果專員公署認(rèn)定不通知數(shù)據(jù)主體有關(guān)個(gè)人數(shù)據(jù)泄露的決定沒(méi)有根據(jù)，考慮到個(gè)人數(shù)據(jù)泄露導(dǎo)致高風(fēng)險(xiǎn)的可能性，它可能會(huì)命令數(shù)據(jù)控制者向數(shù)據(jù)主體進(jìn)行信息傳遞，否則將對(duì)數(shù)據(jù)控制者實(shí)施強(qiáng)制措施。

五、個(gè)人數(shù)據(jù)泄露事件的記錄

數(shù)據(jù)控制者的管理人員應(yīng)記錄所有個(gè)人數(shù)據(jù)泄露事件，包括與個(gè)人數(shù)據(jù)泄露事件有關(guān)的影響和數(shù)據(jù)控制者采取的補(bǔ)救措施等事實(shí)，以保證歐洲數(shù)據(jù)保護(hù)主管能夠?qū)@些信息進(jìn)行訪問(wèn)，以及依據(jù)該記錄文件驗(yàn)證相關(guān)行為是否符合相關(guān)規(guī)定。

記錄文件可保證問(wèn)責(zé)制度的實(shí)施，該文件的內(nèi)容記錄了數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)過(guò)程中相關(guān)原則的遵守情況。歐盟機(jī)構(gòu)可就該文件冊(cè)的結(jié)構(gòu)、設(shè)置和管理問(wèn)題等征求數(shù)據(jù)保護(hù)官的意見(jiàn)，數(shù)據(jù)保護(hù)官還可以對(duì)這些文件的記錄內(nèi)容另行進(jìn)行維護(hù)?！?/p>