□ 文 吳沈括 霍文新

作者單位：北京師范大學(xué)

2018年11月21日，歐洲數(shù)據(jù)保護(hù)專員公署（EDPS，以下簡稱：專員公署）發(fā)布了針對歐盟機(jī)構(gòu)和機(jī)關(guān)（以下統(tǒng)稱：歐盟機(jī)構(gòu)）的個人數(shù)據(jù)泄露報告指南（Guidelines on personal data breach notification For the European Union Institutions and Bodies）。根據(jù)新的歐盟條例也即第（EU）2018/1725號條例，所有歐盟機(jī)構(gòu)都有責(zé)任向?qū)T公署報告某些類型的個人數(shù)據(jù)泄露事件。

該指南旨在為歐盟機(jī)構(gòu)遵守關(guān)于其處理個人數(shù)據(jù)的法規(guī)相關(guān)規(guī)定提供實(shí)用建議，通過對個人數(shù)據(jù)泄露情況下個人數(shù)據(jù)保護(hù)、隱私及其他基本權(quán)利風(fēng)險的評估和管理，提供建議并指出實(shí)施個人數(shù)據(jù)保護(hù)責(zé)任的最佳實(shí)踐。指南收集并整合了專員公署過去幾年給予歐盟機(jī)構(gòu)的建議，概述了歐盟機(jī)構(gòu)應(yīng)采取的應(yīng)對個人數(shù)據(jù)泄露的方法，同時在評估對第（EU）2018/1725號條例的遵守情況時，專員公署還將列出最佳實(shí)踐作為參考。

除了該指南提出的措施之外，歐盟機(jī)構(gòu)可以依據(jù)具體需求選擇其他同樣有效的措施，在這種情況下，歐盟機(jī)構(gòu)需要證明這些措施的同等保護(hù)水平。歐盟機(jī)構(gòu)應(yīng)定期對個人數(shù)據(jù)泄露程序進(jìn)行評估，保證歐盟機(jī)構(gòu)在原則上可以有效地響應(yīng)相關(guān)事故的發(fā)生，以防止或降低個人數(shù)據(jù)泄露所造成的風(fēng)險。

該指南主要從以下方面展開內(nèi)容：1.個人數(shù)據(jù)泄露的法律定義；2.個人數(shù)據(jù)泄露的評估機(jī)制；3.向?qū)T公署的報告；4.向數(shù)據(jù)主體的傳達(dá)；5.個人信息泄露事件的記錄。

一、個人數(shù)據(jù)泄露的法律定義

依據(jù)第（E U）2018/1725號條例，“個人數(shù)據(jù)泄露”是指由歐盟機(jī)構(gòu)作為控制者負(fù)責(zé)的個人數(shù)據(jù)，因違反安全規(guī)定，而意外或非法破壞、丟失、篡改、未經(jīng)授權(quán)披露或訪問、傳輸、存儲或以其他方式被處理。

值得注意的是，并非所有違規(guī)行為均屬于違反安全規(guī)定，如處理行為沒有法律依據(jù)進(jìn)而導(dǎo)致數(shù)據(jù)信息不完整的行為。與信息安全事件相關(guān)的并非都是個人數(shù)據(jù)泄露事件，但個人數(shù)據(jù)泄露事件則均被定義為信息安全事件。

第29條工作組定義了三種類型的個人數(shù)據(jù)泄露：1.未經(jīng)授權(quán)或意外披露、訪問個人數(shù)據(jù)；2.意外或未經(jīng)授權(quán)破壞個人數(shù)據(jù)或失去了對個人數(shù)據(jù)訪問的控制；3.未經(jīng)授權(quán)或意外更改個人數(shù)據(jù)，即個人數(shù)據(jù)的不當(dāng)修改。

二、個人數(shù)據(jù)泄露的評估機(jī)制

風(fēng)險評估方法以歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）相關(guān)評估規(guī)則為標(biāo)準(zhǔn)，違規(guī)的嚴(yán)重程度需要根據(jù)具體情況進(jìn)行評估，評估的基本考慮要素應(yīng)以“對自然人權(quán)利和自由造成的風(fēng)險程度”為依據(jù)。

首先，歐盟機(jī)構(gòu)應(yīng)當(dāng)有完善的安全事件管理流程，在評估事件時應(yīng)檢測個人數(shù)據(jù)是否受到影響，如有影響應(yīng)立即向數(shù)據(jù)保護(hù)官（DPO）進(jìn)行咨詢，如被認(rèn)定為個人數(shù)據(jù)泄露事故，則進(jìn)行后續(xù)評估工作。個人數(shù)據(jù)泄露認(rèn)定的必要條件是所涉及的數(shù)據(jù)類型為個人數(shù)據(jù)，且該個人數(shù)據(jù)應(yīng)能被識別。

其次，在評估風(fēng)險時，應(yīng)考慮對數(shù)據(jù)主體的權(quán)利和自由產(chǎn)生不利影響的可能性和嚴(yán)重性，然后進(jìn)行客觀性風(fēng)險評估。此步驟非常關(guān)鍵，因?yàn)樗鼮闅W盟機(jī)構(gòu)賦予了作為控制者的報告義務(wù)。所謂客觀評估是指，歐盟機(jī)構(gòu)應(yīng)在數(shù)據(jù)泄露管理程序或單獨(dú)程序中整合分步指導(dǎo)以及方法等。

評估的主要內(nèi)容：1.數(shù)據(jù)類型；2.個人數(shù)據(jù)的性質(zhì)、敏感度和數(shù)量；3.識別數(shù)據(jù)主體的程度；4.對數(shù)據(jù)主體造成后果的嚴(yán)重程度；5.數(shù)據(jù)主體是否具有特殊性；6.數(shù)據(jù)控制者是否具有特殊性；7.受影響的主體數(shù)量等。上述因素都需要仔細(xì)評估以判斷每一個因素單獨(dú)或與其他因素相結(jié)合后對數(shù)據(jù)主體所造層的風(fēng)險程度。

三、向?qū)T公署的報告

歐盟機(jī)構(gòu)應(yīng)在不遲于72小時內(nèi)向?qū)T公署報告?zhèn)€人數(shù)據(jù)泄露事件，除非該泄露事故不太可能對數(shù)據(jù)主體的權(quán)利和自由造成風(fēng)險。

1.報告要求

數(shù)據(jù)控制者應(yīng)在發(fā)現(xiàn)數(shù)據(jù)泄露后不遲于72小時向?qū)T公署發(fā)送報告，如果超出72小時的時限，應(yīng)提供證明表明延誤理由的正當(dāng)性。如果風(fēng)險不大，則無須報告專員公署，但是數(shù)據(jù)控制者應(yīng)通知數(shù)據(jù)保護(hù)官并記錄事件行為。

數(shù)據(jù)控制者向?qū)T公署發(fā)送的報告中應(yīng)包含以下內(nèi)容：（1）個人數(shù)據(jù)泄露事故性質(zhì)的描述，包括可能的數(shù)據(jù)主體的類別和大致數(shù)量以及相關(guān)個人數(shù)據(jù)的類別和大致數(shù)量；（2）數(shù)據(jù)保護(hù)官的名稱和聯(lián)系方式；（3）對個人數(shù)據(jù)泄露可能后果的具體描述；（4）為解決個人數(shù)據(jù)泄露而采取或建議采取的措施的具體描述。

2.分階段報告

根據(jù)數(shù)據(jù)泄露的性質(zhì)，歐盟機(jī)構(gòu)應(yīng)進(jìn)一步進(jìn)行調(diào)查以確定數(shù)據(jù)泄露的事實(shí)，同時將相關(guān)信息分階段提供給專員公署。

歐盟機(jī)構(gòu)應(yīng)當(dāng)在數(shù)據(jù)泄露事故行為中迅速采取行動，盡可能恢復(fù)受損數(shù)據(jù)并向?qū)T公署尋求建議。如果數(shù)據(jù)控制者的管理員尚未掌握所有必要信息，則應(yīng)報告專員公署，并在稍后提供更多詳細(xì)信息，并就如何以及何時提供信息達(dá)成一致。

四、向數(shù)據(jù)主體的傳達(dá)

如果個人數(shù)據(jù)泄露導(dǎo)致個人權(quán)利和自由受到高風(fēng)險的威脅，歐盟機(jī)構(gòu)應(yīng)將該信息傳達(dá)給數(shù)據(jù)主體且不得無故拖延。在這種情況下，傳達(dá)信息并沒有具體的時間限制，但應(yīng)盡快進(jìn)行，同時鑒于此時風(fēng)險較高，數(shù)據(jù)控制者應(yīng)采取必要的預(yù)防措施。

傳達(dá)信息的內(nèi)容，應(yīng)當(dāng)對個人數(shù)據(jù)泄露的性質(zhì)以及對減輕潛在不利影響的建議進(jìn)行必要說明，傳達(dá)方式應(yīng)在合理可行的情況下盡快進(jìn)行，且可以選擇與專員公署密切合作并遵守其提供的指導(dǎo)。向數(shù)據(jù)主體傳達(dá)的信息內(nèi)容應(yīng)當(dāng)包括個人數(shù)據(jù)泄露的性質(zhì)以及可能的后果的說明。歐盟機(jī)構(gòu)還應(yīng)酌情向個人提供具體建議，以保護(hù)數(shù)據(jù)主體免受違規(guī)行為可能產(chǎn)生的不利后果。

根據(jù)問責(zé)制原則，如果數(shù)據(jù)控制者決定不向受影響的數(shù)據(jù)主體傳達(dá)違規(guī)行為，則必須向?qū)T公署進(jìn)行說明。如果專員公署認(rèn)定不通知數(shù)據(jù)主體有關(guān)個人數(shù)據(jù)泄露的決定沒有根據(jù)，考慮到個人數(shù)據(jù)泄露導(dǎo)致高風(fēng)險的可能性，它可能會命令數(shù)據(jù)控制者向數(shù)據(jù)主體進(jìn)行信息傳遞，否則將對數(shù)據(jù)控制者實(shí)施強(qiáng)制措施。

五、個人數(shù)據(jù)泄露事件的記錄

數(shù)據(jù)控制者的管理人員應(yīng)記錄所有個人數(shù)據(jù)泄露事件，包括與個人數(shù)據(jù)泄露事件有關(guān)的影響和數(shù)據(jù)控制者采取的補(bǔ)救措施等事實(shí)，以保證歐洲數(shù)據(jù)保護(hù)主管能夠?qū)@些信息進(jìn)行訪問，以及依據(jù)該記錄文件驗(yàn)證相關(guān)行為是否符合相關(guān)規(guī)定。

記錄文件可保證問責(zé)制度的實(shí)施，該文件的內(nèi)容記錄了數(shù)據(jù)控制者處理個人數(shù)據(jù)過程中相關(guān)原則的遵守情況。歐盟機(jī)構(gòu)可就該文件冊的結(jié)構(gòu)、設(shè)置和管理問題等征求數(shù)據(jù)保護(hù)官的意見，數(shù)據(jù)保護(hù)官還可以對這些文件的記錄內(nèi)容另行進(jìn)行維護(hù)。■