数据泄漏通知建设建议

当发生数据安全事件时,网络运营者应立即启动应急响应机制,采取相应的补救措施。

  • 个人信息(PII)泄漏:可参考个人信息泄露事件影响评估表分级别进行响应;

  • 重要数据泄漏:可能危害国家安全,公共安全,经济安全和社会稳定的重要数据泄露,需要及时向有关部门报告。

  • 安全凭据泄漏:发现缺少安全凭据进行访问控制限制或者安全凭据丢失时,建议通知安全团队以及相关的研发团队。尽早配置安全凭据或者更换安全凭据。 注意要点:

  • 配备应急响应所需资源,确保应急响应可以有效实施,人员责任也要定义清晰,事情跟人绑定;

  • 制定应急演练计划,组织开展应急演练,校验和完善应急响应机制,不断提高应急响应实战能力;

由于数据安全法没有明确什么是“大量数据”,国家网信办在《网络数据安全管理条例(征求意见稿)》明确在“发生重要数据或者十万人以上个人信息泄露”,综合多个法规,数据处理者要有更高的管理措施和通知义务。这说明,不同等级的个人信息泄露事件,会引发完全不同量级的数据处理者的法律义务,这也是为何要发现数据泄漏后进行泄漏事件影响评估的原因。可参考以下个人信息泄露事件影响评估表

严重程度
严重程度等级
危害级别
处理方式
报告期限

轻微

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的

有泄露但能够有效避免危害

可以不通知个人。但履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。

“及时”

一般

发生或者可能发生个人信息泄露、篡改、丢失的

泄露后可能有危害且可能不能有效避免

应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人/用户。

“立即”

中等

数据泄露安全事件对个人、组织造成危害的

对个人/组织造成危害

数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等。并且通知利害关系人,法律、行政法规规定可以不通知的从其规定。

三个工作日内通行个人

重大

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时

有重大危害

(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

八小时内

犯罪

数据泄露安全事件涉嫌犯罪的

涉嫌犯罪

数据处理者应当按规定向公安机关报案。

/

如何向主管部门报告

中国: “发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告”。——国家网信办《网络数据安全管理条例(征求意见稿)》 银监会、网信、公安、工信通管,以及交通、卫生健康、教育、市场监管、央行等均属于“履行个人信息保护职责的部门”。

美国: 通知执法部门是指立即给当地警察局打电话,如果当地警方不熟悉调查信息泄露,企业可以联系当地的联邦调查局或美国特勤局,而对于涉及邮件盗窃的事件,又可以联系美国邮政管理机构。——美国FTC指引

欧盟: 数据控制者应在不晚于72小时的时间内向监管机构报告个人数据泄露事件,除非该事件不太可能对个人的权利和自由造成风险。若迟于72小时报告的则须说明理由。——GDPR

新加坡:Submit the notification at https://eservice.pdpc.gov.sg/case/db. For urgent notification of major cases, organisations may also contact the PDPC at +65 6377 3131 during working hours.

如何向个人/用户告知

在通知的方式上,企业可以以网站站内信、产品弹窗、电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知。

根据中国《数据安全法》规定,开展数据处理活动的组织没有采取相应的技术措施和其他必要措施,保障数据安全,造成大量数据泄露等严重后果的,可处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。当数据涉及个人信息且情节严重的,还可以依据《个人信息保护法》由省级以上履行个人信息保护职责的部门处五千万元以下或者上一年度营业额百分之五以下罚款。另外,《民法典》和《网络安全法》也对数据泄露问题进行了相关的规定。

《网络数据安全管理条例(征求意见稿)》进一步细化了应急要求,包括“数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人”,发生重要数据或者十万人以上个人信息泄露安全事件时,数据处理者还应当在八小时完成报告及实施必要的善后处理。

美国联邦贸易委员会(FTC)在2021年2月发布了《数据泄露响应商业指南》,美国所有50个州、相关特区也均颁布了法律,要求私人实体或政府机构通知受到可能危及其个人身份信息的安全泄露影响的个人。早在2017-18年,除了第29条工作组于发布的《关于数据泄露通知的一般指南》, 以及《通用数据保护条例》要求的72小时黄金报告时间外,欧盟还发布了详细的《个人数据违规通知指导方针》,概述了企业在充分应对个人数据泄露时应当采取的方法,2021年,EDPB发布了《关于数据泄露通知的示例》,专门就如何实施了必要的通知进行了指引。

上一页数据泄露通知要求下一页什么是GDPR

最后更新于