泄露通知
本文约需 2 分钟阅读
泄露通知 (Breach Notification) 是指当发生数据泄露时,在一定期限内向受影响的个人和监管机构进行通知的法律义务。以 GDPR 的施行 (2018 年) 为契机,世界各国陆续将其法定化,通知延迟或不完备而被处以高额罚款的案例日益增多。这是一个不仅需要对安全事件进行技术应对,还需要法务、公关、经营层共同参与的跨组织应对流程的领域。
历史背景
泄露通知的立法被认为始于 2003 年加利福尼亚州的 SB-1386,为世界首例。当时通知义务的概念本身尚属新鲜,许多企业未公开泄露便蒙混过关。此后,2018 年欧盟的 GDPR 规定须在 72 小时内向监管机构通知,使泄露通知成为全球企业无法回避的法律要求。在日本,2022 年个人信息保护法修订后,泄露等情况的报告与通知也被法定化。
主要法规通知要求比较
| 项目 | GDPR (欧盟) | 个人信息保护法 (日本) | CCPA/CPRA (美国加利福尼亚) |
|---|---|---|---|
| 向监管机构的通知期限 | 知悉后 72 小时以内 | 速报: 3〜5 天以内 / 确报: 30 天以内 | 在合理期限内 (无明确时间限制) |
| 向本人的通知 | 高风险时须无延迟通知 | 原则上负有通知义务 | 须无延迟通知 |
| 适用的泄露 | 个人数据侵害的全部情形 | 需要特别关照的个人信息、超过 1,000 人、不正当目的等 | 未加密的个人信息 |
| 罚款上限 | 全球营业额的 4% 或 2,000 万欧元 | 违反命令处 1 亿日元以下罚款 | 每件 $7,500 (故意违反) |
| 通知对象 | 监管机构 (DPA) | 个人信息保护委员会 | 加利福尼亚州司法部长 |
通知的时间线与必填记载事项
通知中必须包含以下信息: 泄露的性质与受影响数据的类型、受影响人数的概算、预计的风险与影响、已采取的措施与今后的应对计划,以及咨询联系方式。如果没有健全的事件响应体制,要在 72 小时内备齐这些信息是极为困难的。
通知延迟的风险
通知延迟不仅会带来罚款,还会从根本上损害企业信誉。在 2019 年 British Airways 的案例中,因违反 GDPR 被处以约 2,000 万英镑的罚款。 Uber 将 2016 年的泄露隐瞒了一年以上,最终支付了 1 亿 4,800 万美元的和解金。在日本,违反通知义务也会成为行政指导或劝告的对象,并伴随公布企业名称带来的声誉风险。从合规的角度看,平时的准备至关重要。
实务中的准备
“我们每年开展两次泄露通知演练。通过反复进行在模拟事件中于 72 小时内完成通知文件的演习,我们建立了即使在实际事件发生时也能冷静应对的体制。”
实务上的要点是: 事先准备通知模板、建立法务、公关、IT 的协作流程,以及定期演练。平时掌握个人信息的处理范围,能够在泄露时迅速确定影响范围。事件响应的整体面貌可参阅面向个人的事件响应指南,泄露发生时的具体步骤可参阅数据泄露应对实践指南。事件响应实务书 (Amazon)也有助于掌握实践性的知识。
常见误解
有些企业认为「只要加密了就无需通知」,但这因法域而异。在 CCPA 下,仅未加密数据的泄露才属于通知对象,而在 GDPR 下,无论是否加密,个人数据的侵害都属于报告对象。此外还有「泄露规模小就不必通知」的误解,但在日本的个人信息保护法下,即使只泄露一件需要特别关照的个人信息也会产生报告义务。关于隐私设置的复查,也请参考隐私设置指南。
这篇文章对您有帮助吗?