APUS研究院｜看完本文再去和人聊Facebook“个人数据泄露”事件

要说三季度什么新闻见天上数据合规的“热搜榜”，肯定要属Facebook的超大规模个人数据泄露（“Personal Data Breach”）。Facebook这波未平，那边厢国泰港龙航空公司再次爆出大规模个人数据泄露丑闻。因此，为了让各位大佬好好追热点，小编本期就决定聊一聊GDPR下的“个人数据泄露”。老规矩，看完这篇文章后，小编希望各位大佬可以了解：

l  什么是“个人数据泄露”；

l  “个人数据泄露”报告；

l  不报告“个人数据泄露”的后果

#1 什么是“个人数据泄露”

如果放在企业运营场景下，这并不是一个简单的问题。

并且因为GDPR要求企业在发生“个人数据泄露”事件后必须履行一系列义务，企业如果答错了这问题可能要吃不了兜着走。

那么GDPR对“个人数据泄露”是如何定义的？

“因为安全漏洞导致被传输的，存储的或者以其他方式处理的个人数据被意外地或非法地的销毁、丢失、篡改或被未经授权的公开或未经授权的访问。”

# 安全漏洞导致

GDPR规定，企业有义务根据实际情况，从技术上和组织上两个方面采取相应的安全措施来保障企业的个人数据安全。在有关“个人数据泄漏”的指南中，WP29小组再次强调了这一点。虽然前述指南没有言明必然有引起与被引起的关系存在，但是小编个人认为“个人数据泄露”大多还是由于故意或者过失违反GDPR有关安全措施的规定而引起的。

此外，个别国家的数据保护机关，比如英国数据保护机关（ICO）在其网站上将“个人数据泄露”宽泛的定义为“影响个人数据的保密性、完整性和可访问性的”的安全事件。

# 灭失、丢失、篡改或被未经授权的公开或访问

敲响一记警钟，“个人数据泄露”可并不仅仅只包括“泄露”。从GDPR的定义上看，单纯的泄露（也就是个人数据被未经授权的公开或者被未经授权的第三方访问），仅仅是“个人数据泄露”的一种可能，其他还包括被篡改，或者灭失，丢失。

灭失，就是个人数据不存在了，或者不以能够为企业或者企业授权的第三方所用的状态存在了。举个最直观的例子，比方说一家企业存储个人数据的硬盘被扔到硫酸里溶解了，这个事件就可以被定性为个人数据灭失。

丢失和灭失的区别在于，个人数据可能还是存在的，但是企业或者企业授权的第三方已经丧失了对个人数据的控制或者物理上的占有。继续拿硬盘举例子，比如说这家企业唯一的一个存储个人数据的硬盘被人偷了。再比方说，一家企业存储的个人数据被第三方未经授权的进行了加密了，然后这家企业自己还没有进行备份，也应定性为丢失。

这里还有一点特别提示一下各位大佬，个人数据丢失过，即使找回来了，也可能还是被认定为“个人数据泄露”事件。

还是老规矩，如果觉着上面的讲解太过抽象，小编请各位大佬看下面中一些企业实际运营中比较常见的“个人数据泄露”场景。

l  用户身份泄露；

l  丢失存储有用户信息的笔记本电脑、U盘或者其他文档（即使内含用户数据是加密的）；

l  丢失加密用户信息的密码；

l  黑客入侵企业存储有用户信息的IT设施并自行设置了密码；

l  企业技术故障导致用户信息被公开；

l  因为患者信息被篡改导致医院不能正常收治病人；

l  物理入侵放有企业服务器的房间并破坏了存储有企业用户信息的硬件设施和备份；

l  企业丧失企业所有的自动处理用户信息的电子系统的使用权限；

l  外来访客在没有企业相应员工陪同的情况下闯入有权限可以访问企业用户信息的房间；以及

l  企业将邮件或信息发送错了人等等。

#2 “个人数据泄露”报告

从合规角度出发，各位大佬了解“个人数据泄露”的一个原因就是明确合规义务。而与“个人数据泄露“相关的一项最重要的合规义务，就是向相应数据保护机关报告的义务。

各位大佬也可以看出，GDPR下“个人数据泄露”的定义实际上是宽泛的。那么，是不是每一起满足上文提到的“个人数据泄露”定义的事件都需要报告呢？

答案不是绝对的，不过也差不多。只要“个人数据泄露”存在导致数据主体遭受身份泄露、权利自由方面的影响、歧视影响、遭受欺诈、经济损失、匿名状态被破坏、名誉受损等负面影响的风险，企业就必须及时向相关数据保护机关进行报告。

这里小编还想再简单谈一下向数据保护机关报告的要求。

#尽早汇报

首先不难想到的是，出了这么大的事情，一定要及时报告。除了做出越早汇报越好的规定外，GDPR及WP29小组进一步规定，最晚不能超过企业“知晓”“个人数据泄露”后的72小时。如果超过了72小时才汇报，那一定要附上报告晚了的理由。

#怎么算“知晓”

从上一个要求中不难看出，如果发生“个人数据泄露”，企业和数据保护机关一个潜在的争议点就是如何确定企业是否“知晓”“个人数据泄露”。

这点小编分别从主观标准和客观标准来聊一聊。

主观上，企业有理由或依据可以合理的认为确实发生了“个人数据泄露”，即认为企业“知晓”了“个人数据泄露”。

不过各位大佬不要认为拖延症有了借口，因为真正的紧箍咒是在客观标准方面。

上文提到过，GDPR要求企业实施足以保护企业运营中处理的个人数据的技术和组织措施，尽量防止“个人数据泄露”出现。进一步的，GDPR还要求，企业实施足以及时识别和报告“个人数据泄露”的，符合企业实际情况的技术和组织措施，及时控制已经出现的“个人数据泄露”可能造成的对数据主体的不利影响。

所以，如果想试图和数据保护机关强调自己真的一直没有发现“个人数据泄露”的大佬，千万小心更大的一口锅从天而降哦。

#报告的一些细节要求

先谈一下报告的的内容。GDPR33条第3款对于报告的内容做出了规定，这里小编不再重复法条的内容，但是想谈谈几个WP29小组在指南中提到的细节问题。

首先，WP29小组再次强调，向数据保护机关报告的目的是为了“控制可能对于被影响的数据主体造成的损害”。

其次建议企业在向相关数据保护机关报告“个人数据泄露”时，将提交的数据主体和个人数据记录进行一个简单的分类处理。比如将数据主体分为儿童、易受影响群体、老人和残障人士等等。

最后，虽然说及时通知的要求很严厉，但是WP29小组还是给予了涉事企业进一步调查的空间。WP29小组承认，即使采取了相应的技术或者组织措施，企业还是有可能在72小时内获得不了足够的信息。这种情况下，企业是可以在72小时内将自己已经了解的先报告给数据保护机关，然后进一步调查后再继续向数据保护机关进行报告。

#3 没有报告的后果是什么

至少从GDPR法条上来看，后果还是很严重的。各位大佬估计能猜到，行政罚款是跑不了的。单单没有适当履行报告义务本身就可能导致额度等于1000万欧元或者企业2%全球营收二者中较高者的行政罚款。

这可能并不是最糟糕的情况。

有实务界的观点认为，发生“个人数据泄露”且没有适当履行报告义务，一般还会招致数据保护机关对于企业采取的技术上的或组织上的安全措施的质疑。搞不好，前面提到的罚款就翻倍了。

#4 尾声

除了向数据保护机关报告外，在“个人数据泄露”可能使得数据主体处于高风险状态的情况下，企业必须及时与相关所有数据主体就“个人数据泄露”进行沟通。此外，关于报告义务等还有一些更加细节的规定。限于篇幅，小编下期再给各位大佬娓娓道来。

最后还是那句老话，GDPR合规无小事，各位大佬，我们下期再见！