“數(shù)據(jù)泄露事件通報(bào)”中的這些問(wèn)題,眼熟么?
澳大利亞制定的“數(shù)據(jù)泄露事件通報(bào)(NDB)”計(jì)劃將于2018年2月22日正式生效。這一政策的出臺(tái)將給澳大利亞的企業(yè)與個(gè)人帶來(lái)怎樣的影響?反映出組織機(jī)構(gòu)在安全程序上存在那些缺陷?
一、“數(shù)據(jù)泄露事件通報(bào)(NDB)”怎么通報(bào)?
由于立法方希望借澳大利亞“數(shù)據(jù)泄露事件通報(bào)(NDB)”計(jì)劃對(duì)個(gè)人加以保護(hù),因此當(dāng)NDB正式生效時(shí)各類(lèi)組織機(jī)構(gòu)都需要在保護(hù)自身持有的數(shù)據(jù)方面承擔(dān)更多責(zé)任。
“數(shù)據(jù)泄露事件通報(bào)(NDB)”計(jì)劃歸屬于澳大利亞《1988年隱私法》中的第IIIC部分,其中規(guī)定了對(duì)各職能實(shí)體在應(yīng)對(duì)數(shù)據(jù)泄露事件方面的具體要求。這意味著澳大利亞隱私法案所涵蓋的所有機(jī)構(gòu)及組織在發(fā)現(xiàn)相關(guān)事件后,將必須快速發(fā)布通報(bào)以披露可能導(dǎo)致個(gè)人信息遭受“嚴(yán)重?fù)p害”的數(shù)據(jù)泄露問(wèn)題。個(gè)人稅號(hào)(TFN)接收人也應(yīng)在TFN信息涉及數(shù)據(jù)泄露的情況下,遵循數(shù)據(jù)泄露事件通報(bào)的指導(dǎo)要求。
1. 泄露事件向誰(shuí)通報(bào)?
根據(jù)此項(xiàng)計(jì)劃,除通報(bào)受影響的個(gè)人之外,相關(guān)組織機(jī)構(gòu)還必須向相關(guān)受害者提供應(yīng)對(duì)性舉措/建議,包括后續(xù)處理其自有信息的辦法。各項(xiàng)數(shù)據(jù)泄露通報(bào)也必須遞交至澳大利亞信息專(zhuān)員蒂莫西·皮爾格瑞姆手中。
皮爾格瑞姆在采訪(fǎng)當(dāng)中解釋稱(chēng),NDB計(jì)劃正式確立了業(yè)界對(duì)于數(shù)據(jù)泄露事件透明度的期望。通報(bào)將為個(gè)人提供信息與建議,幫助其采取措施保護(hù)個(gè)人信息,同時(shí)盡可能減少其遭受危害的風(fēng)險(xiǎn)。
2. 這些小機(jī)構(gòu)/企業(yè)不需要通報(bào)”
年?duì)I業(yè)額低于300萬(wàn)澳元(約合人民幣1540萬(wàn)元)的情報(bào)機(jī)構(gòu)、非營(yíng)利性組織或小型企業(yè)、信用報(bào)告機(jī)構(gòu)、衛(wèi)生服務(wù)供應(yīng)商以及政黨都不會(huì)受到數(shù)據(jù)泄露事件通報(bào)計(jì)劃的約束。
二、并非所有“數(shù)據(jù)泄露事件”都需要披露
一般而言,所謂數(shù)據(jù)泄露是指?jìng)€(gè)人信息遭遇未經(jīng)授權(quán)的訪(fǎng)問(wèn)、丟失或披露,且此類(lèi)信息可能會(huì)對(duì)相關(guān)個(gè)人造成嚴(yán)重危害。數(shù)據(jù)泄露的具體實(shí)例包括:包含客戶(hù)個(gè)人信息的設(shè)備遭遇丟失或盜竊、包含個(gè)人信息的數(shù)據(jù)庫(kù)遭到黑客入侵,個(gè)人信息被錯(cuò)誤提供給不當(dāng)對(duì)象。若無(wú)任何合法理由就瀏覽敏感客戶(hù)記錄的員工可能構(gòu)成數(shù)據(jù)泄露事件,因?yàn)槠洳o(wú)訪(fǎng)問(wèn)相關(guān)信息的明確授權(quán)。
1. 這些信息不用通報(bào)
數(shù)據(jù)泄露事件通報(bào)計(jì)劃使用“符合標(biāo)準(zhǔn)的數(shù)據(jù)泄露”這一表述,用以強(qiáng)調(diào)并非所有違規(guī)皆須進(jìn)行通報(bào)。
- 英聯(lián)邦法律所禁止或規(guī)定不可使用或披露的信息。
- 澳大利亞聯(lián)邦警察局(AFP)、澳大利亞警備部隊(duì)或澳大利亞國(guó)家及領(lǐng)土相關(guān)服務(wù)機(jī)構(gòu)、澳大利亞犯罪委員會(huì)以及澳大利亞證券與投資委員會(huì)等執(zhí)法機(jī)構(gòu)不需要向個(gè)人通報(bào)符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件,但前提要求相關(guān)首席執(zhí)行官有合理理由認(rèn)定通報(bào)個(gè)人有可能損害執(zhí)法機(jī)構(gòu)或執(zhí)法機(jī)構(gòu)代表進(jìn)行與執(zhí)法相關(guān)的活動(dòng)。盡管并非所有數(shù)據(jù)泄露事件皆須進(jìn)行通報(bào),但AFP發(fā)言人在采訪(fǎng)當(dāng)中表示,AFP將對(duì)一切符合該項(xiàng)法案要求且不屬于豁免范疇的情況執(zhí)行必要的通報(bào)義務(wù)。
- 澳大利亞信息專(zhuān)員指定不受數(shù)據(jù)泄露事件通報(bào)計(jì)劃約束的泄露事件,同樣可以免于進(jìn)一步披露。
- 根據(jù)澳大利亞2012年《健康記錄和信息隱私權(quán)法》第75條規(guī)定,其中涵蓋的數(shù)據(jù)泄露事件不需要根據(jù)“數(shù)據(jù)泄露事件通報(bào)(NDB)”進(jìn)行通報(bào),因?yàn)槠湓O(shè)立有自己的約束流程,且同樣接受信息專(zhuān)員辦公室的管理。
2. 需要明確危害級(jí)別
由于數(shù)據(jù)泄露事件通報(bào)計(jì)劃當(dāng)中規(guī)定出一項(xiàng)客觀性基準(zhǔn),因此該計(jì)劃要求專(zhuān)業(yè)人員對(duì)訪(fǎng)問(wèn)或披露“可能會(huì)帶來(lái)嚴(yán)重危害”作出評(píng)估。“Gilbert + Tobin”特別顧問(wèn)梅麗莎·法伊在采訪(fǎng)中進(jìn)一步指出,在實(shí)際評(píng)估工作當(dāng)中,相關(guān)組織機(jī)構(gòu)應(yīng)將其中的“可能”解釋為“很可能”,而不僅僅是存在一定可能性。
隱私法本身并沒(méi)有明確界定“嚴(yán)重危害”的定義,但在數(shù)據(jù)泄露事件背景下,其可能指對(duì)目標(biāo)個(gè)體的嚴(yán)重身體、心理、情緒、財(cái)務(wù)或聲譽(yù)損害。
與個(gè)人健康狀況相關(guān)的信息;常用于身份欺詐的各類(lèi)文件,包括醫(yī)療卡、駕駛執(zhí)照與護(hù)照信息;財(cái)務(wù)信息以及各種類(lèi)型的個(gè)人信息(而非單一個(gè)人信息)組合,往往可能曝光更多個(gè)人情況并造成嚴(yán)重危害。
在評(píng)估嚴(yán)重危害風(fēng)險(xiǎn)時(shí),各職能實(shí)體應(yīng)考慮數(shù)據(jù)泄露后可能引發(fā)的各種潛在后果。
三、通報(bào)流程
懷疑可能發(fā)生符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件的組織及機(jī)構(gòu),必須根據(jù)上述指導(dǎo)方針進(jìn)行“合理且快速的評(píng)估”,從而確定數(shù)據(jù)泄露是否可能對(duì)受影響的個(gè)人造成嚴(yán)重危害。
如果某一職能實(shí)體擁有合理理由以認(rèn)定存在符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露行為,則必須及時(shí)將相關(guān)嚴(yán)重危害風(fēng)險(xiǎn)通報(bào)給相關(guān)人員及信息專(zhuān)員。披露相關(guān)數(shù)據(jù)泄露情況的組織機(jī)構(gòu)必須填寫(xiě)《數(shù)據(jù)泄露事件通報(bào)》聲明。
在向受影響個(gè)人及信息專(zhuān)員進(jìn)行通報(bào)時(shí),報(bào)告當(dāng)中必須包含以下信息:
- 組織機(jī)構(gòu)的身份與聯(lián)系人詳細(xì)信息;
- 數(shù)據(jù)泄露事件描述;
- 相關(guān)信息類(lèi)型;
- 個(gè)人應(yīng)對(duì)數(shù)據(jù)泄露事件時(shí)應(yīng)采取的建議性步驟。
受影響個(gè)人應(yīng)在數(shù)據(jù)泄露事件被發(fā)現(xiàn)后的30天內(nèi)得到通知,在此期間,相關(guān)職能實(shí)體可以自行開(kāi)展違規(guī)行為調(diào)查。數(shù)據(jù)泄露事件通報(bào)計(jì)劃還為職能實(shí)體提供機(jī)會(huì)以及時(shí)采取措施應(yīng)對(duì)數(shù)據(jù)泄露事件,從而避免發(fā)布進(jìn)一步通報(bào),例如向個(gè)人通報(bào)數(shù)據(jù)泄露事件。
1. 數(shù)據(jù)泄露事件未進(jìn)行披露的情況
若未能遵守?cái)?shù)據(jù)泄露事件通報(bào)計(jì)劃進(jìn)行披露,則將被視為“干擾個(gè)人隱私”的行為,并引發(fā)相關(guān)后果。
Gilbert+Tobin的法伊解釋稱(chēng),若組織機(jī)構(gòu)被發(fā)現(xiàn)隱瞞符合通報(bào)標(biāo)準(zhǔn)的數(shù)據(jù)泄露事件,或者被發(fā)現(xiàn)沒(méi)有報(bào)告符合標(biāo)準(zhǔn)的數(shù)據(jù)泄露事件,則將被視為存在個(gè)人隱私數(shù)據(jù)泄露并對(duì)個(gè)人隱私產(chǎn)生嚴(yán)重或反復(fù)干擾的行為,并將因此面對(duì)隱私法所制定的民事處罰條款。
如果組織機(jī)構(gòu)未進(jìn)行通報(bào)的數(shù)據(jù)泄露事件相當(dāng)嚴(yán)重,或者該組織未能在兩個(gè)或更多不同場(chǎng)合對(duì)符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件進(jìn)行通報(bào),則信息專(zhuān)員辦公室有權(quán)根據(jù)民事處罰要求對(duì)其處以最高210萬(wàn)澳元(約合人民幣1050萬(wàn)元)的罰款,具體數(shù)額取決于數(shù)據(jù)泄露可能導(dǎo)致之后果的嚴(yán)重性與潛在危害。
組織也必須考慮到自身品牌聲譽(yù)受損并導(dǎo)致商業(yè)損害的風(fēng)險(xiǎn),特別是考慮到消費(fèi)者對(duì)于組織機(jī)構(gòu)數(shù)據(jù)管理政策及流程的信任度正愈發(fā)重要這一歷史背景,能夠快速、高效且全面地對(duì)數(shù)據(jù)泄露事件作出響應(yīng)將決定業(yè)務(wù)的最終命運(yùn)。2017年Equifax公司因數(shù)據(jù)泄露事件遭遇的影響及作出的響應(yīng)方式就是最典型的例子。
2. 信息委員會(huì)與信息專(zhuān)員辦公室的職能作用
信息專(zhuān)員在數(shù)據(jù)泄露事件通報(bào)計(jì)劃當(dāng)中扮演多種角色,包括接收符合標(biāo)準(zhǔn)的數(shù)據(jù)泄露事件通知; 鼓勵(lì)各方遵守此計(jì)劃,包括處理投訴及進(jìn)行調(diào)查,并針對(duì)違規(guī)事件采取其它監(jiān)管行動(dòng); 向監(jiān)管機(jī)構(gòu)提供意見(jiàn)及指導(dǎo),并向社會(huì)人士介紹此項(xiàng)計(jì)劃的運(yùn)作情況等等。
信息專(zhuān)員辦公室已經(jīng)發(fā)布了關(guān)于此項(xiàng)計(jì)劃的指導(dǎo)性方針,其中包含違規(guī)后果處理的具體說(shuō)明信息。
四、為什么要對(duì)數(shù)據(jù)泄露事件進(jìn)行通報(bào)?
澳大利亞聯(lián)邦政府曾于2017年2月第三次嘗試通過(guò)數(shù)據(jù)泄露事件通報(bào)法。2015年2月,澳大利亞聯(lián)邦議會(huì)情報(bào)與安全委員會(huì)曾就數(shù)據(jù)泄露事件通報(bào)計(jì)劃提出建議,此后澳大利亞開(kāi)始實(shí)施強(qiáng)制性數(shù)據(jù)保留法。
1. 怎樣建設(shè)通報(bào)程序基礎(chǔ)?
根據(jù) Gilbert+Tobin 方面的說(shuō)法,企業(yè)至少應(yīng)該了解自身所掌握的數(shù)據(jù)、保存位置以及哪些人員有權(quán)訪(fǎng)問(wèn)這些數(shù)據(jù)。評(píng)估現(xiàn)有數(shù)據(jù)隱私與安全策略及程序,從而確保組織能夠在發(fā)生數(shù)據(jù)泄露事件時(shí)適當(dāng)而迅速地做出響應(yīng)。
法伊在采訪(fǎng)中表示,相關(guān)工作中應(yīng)包括制定一項(xiàng)數(shù)據(jù)泄露響應(yīng)計(jì)劃,確保組織機(jī)構(gòu)內(nèi)各相關(guān)方切實(shí)開(kāi)展合作,并迅速將合適的人員引入響應(yīng)流程——包括來(lái)自IT、網(wǎng)絡(luò)安全、公共關(guān)系、管理以及人力資源等部門(mén)的成員。此外,各組織機(jī)構(gòu)還應(yīng)不斷審計(jì)并加強(qiáng)網(wǎng)絡(luò)安全戰(zhàn)略、保護(hù)措施與工具,從而預(yù)防數(shù)據(jù)泄露事件的發(fā)生。
法伊認(rèn)為,組織成員對(duì)數(shù)據(jù)泄露事件通報(bào)計(jì)劃的了解也非常重要,因此人員應(yīng)接受適當(dāng)培訓(xùn),包括確定何時(shí)會(huì)發(fā)生符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件,以及如何遵循職能實(shí)體內(nèi)的政策與程序以確定后續(xù)處理方案。而安全事件響應(yīng)工作還應(yīng)進(jìn)一步延伸至代表職能機(jī)構(gòu)處理個(gè)人信息的其它供應(yīng)商與第三方合作伙伴處。
2. 考慮是否有國(guó)際業(yè)務(wù)覆蓋歐洲地區(qū)
歐盟《通用數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱(chēng)GDPR)將于2018年5月25日正式生效,全球各持有歐盟地區(qū)個(gè)人用戶(hù)數(shù)據(jù)的組織機(jī)構(gòu)都必須提高自身保護(hù)水平,且明確數(shù)據(jù)的具體存儲(chǔ)位置。
未遵守法規(guī)要求的組織機(jī)構(gòu)可能被處于最高2000萬(wàn)歐元的行政罰款,或接受相當(dāng)于上財(cái)年全球年度總營(yíng)業(yè)額4%的罰款,以二者中較高者為準(zhǔn)。
然而,法律要求并不權(quán)限于歐盟區(qū)域之內(nèi),包括澳大利亞在內(nèi)的世界其它國(guó)家也同樣受到影響。如果其業(yè)務(wù)延伸至歐盟范圍之內(nèi),包括在歐盟提供產(chǎn)品與服務(wù),或者需要追蹤歐盟民眾的活動(dòng)數(shù)據(jù),則同樣需要接受上述GDPR法規(guī)的監(jiān)管。
通用數(shù)據(jù)保護(hù)條例與澳大利亞隱私法中包含一系列共通性要求,但二者間也存在一些差異,其中一大關(guān)鍵性因素在于數(shù)據(jù)泄露事件的披露時(shí)間。
根據(jù)數(shù)據(jù)泄露事件通報(bào)計(jì)劃,澳大利亞各組織機(jī)構(gòu)最多有30天時(shí)間公布數(shù)據(jù)泄露事件;而根據(jù)通用數(shù)據(jù)保護(hù)條例,機(jī)構(gòu)需要在發(fā)現(xiàn)事件后的72小時(shí)內(nèi)向主管部門(mén)通報(bào),除非能夠證明個(gè)人數(shù)據(jù)泄露不會(huì)對(duì)自然人的權(quán)利與自由造成風(fēng)險(xiǎn)。
法伊強(qiáng)調(diào)稱(chēng),“總?cè)绻拇罄麃喌哪骋唤M織機(jī)構(gòu)受到GDPR《通用數(shù)據(jù)保護(hù)條例》的約束,則其必須同時(shí)遵守兩項(xiàng)法案所提出的義務(wù)。盡管這兩項(xiàng)制度存在不同的要求,但彼此之間并不互斥。不過(guò)對(duì)于數(shù)據(jù)泄露事件而言,歐盟方面的法案在要求上更為嚴(yán)格。”
五、事件通報(bào)程序如何真正落地?
任何曾從供應(yīng)商手中購(gòu)買(mǎi)安全解決方案的組織都很清楚,要全面保護(hù)組織機(jī)構(gòu)并非易事。
賽門(mén)鐵克公司澳大利亞、新西蘭與日本分部CTO尼克·賽維德斯在采訪(fǎng)中表示,“在處理數(shù)據(jù)泄露事件時(shí),每位客戶(hù)都希望能夠利用單一產(chǎn)品、流程或者標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)徹底預(yù)防。”
實(shí)際上,數(shù)據(jù)泄露事件并非總能得到有效預(yù)防,多數(shù)情況下僅僅可以得到緩解。數(shù)據(jù)泄露事件有可能源自網(wǎng)絡(luò)入侵、惡意內(nèi)部人士威脅,甚至是善意內(nèi)部人員造成的意外流出,這一切都擁有對(duì)應(yīng)的緩解措施。
賽維德斯將緩解措施分為三個(gè)部分:
- 其一,處理惡意攻擊者;
- 其二,實(shí)現(xiàn)以信息為中心的安全性(適用于全部情況);
- 其三,緩解性質(zhì)的響應(yīng)計(jì)劃。
賽維德斯表示,大多數(shù)組織并不具備有效的應(yīng)對(duì)計(jì)劃以處理數(shù)據(jù)泄露事件。組織機(jī)構(gòu)可能已經(jīng)制定有計(jì)劃,但就目前來(lái)看,這些計(jì)劃往往太過(guò)學(xué)術(shù)化、理論化且缺少可行性,甚至通常會(huì)忽略事件本身。
組織需要建立報(bào)告事件流程,明確哪些人員需要參與其中,遵循怎樣的處理方法,同時(shí)提供明確的公關(guān)信息。用戶(hù)明顯更重視透明度與清晰的說(shuō)明,而對(duì)某些組織提供的模棱兩可的官樣文章拒絕買(mǎi)賬。
皮爾格瑞姆則補(bǔ)充稱(chēng),“此項(xiàng)計(jì)劃的啟動(dòng)也將成為各類(lèi)機(jī)構(gòu)及時(shí)收集其所持有的個(gè)人信息,并重新思考如何加以管理的重要機(jī)會(huì)。通過(guò)確保個(gè)人信息得到妥善保護(hù)與管理,企業(yè)將能夠搶先一步降低發(fā)生數(shù)據(jù)泄露事件的可能性。”
