澳大利亚制定的“数据泄露事件通报(NDB)”计划将于2018年2月22日正式生效。这一政策的出台将给澳大利亚的企业与个人带来怎样的影响?反映出组织机构在安全程序上存在那些缺陷?
一、“数据泄露事件通报(NDB)”怎么通报?
由于立法方希望借澳大利亚“数据泄露事件通报(NDB)”计划对个人加以保护,因此当NDB正式生效时各类组织机构都需要在保护自身持有的数据方面承担更多责任。
“数据泄露事件通报(NDB)”计划归属于澳大利亚《1988年隐私法》中的第IIIC部分,其中规定了对各职能实体在应对数据泄露事件方面的具体要求。这意味着澳大利亚隐私法案所涵盖的所有机构及组织在发现相关事件后,将必须快速发布通报以披露可能导致个人信息遭受“严重损害”的数据泄露问题。个人税号(TFN)接收人也应在TFN信息涉及数据泄露的情况下,遵循数据泄露事件通报的指导要求。
1. 泄露事件向谁通报?
根据此项计划,除通报受影响的个人之外,相关组织机构还必须向相关受害者提供应对性举措/建议,包括后续处理其自有信息的办法。各项数据泄露通报也必须递交至澳大利亚信息专员蒂莫西·皮尔格瑞姆手中。
皮尔格瑞姆在采访当中解释称,NDB计划正式确立了业界对于数据泄露事件透明度的期望。通报将为个人提供信息与建议,帮助其采取措施保护个人信息,同时尽可能减少其遭受危害的风险。
2. 这些小机构/企业不需要通报”
年营业额低于300万澳元(约合人民币1540万元)的情报机构、非营利性组织或小型企业、信用报告机构、卫生服务供应商以及政党都不会受到数据泄露事件通报计划的约束。
二、并非所有“数据泄露事件”都需要披露
一般而言,所谓数据泄露是指个人信息遭遇未经授权的访问、丢失或披露,且此类信息可能会对相关个人造成严重危害。数据泄露的具体实例包括:包含客户个人信息的设备遭遇丢失或盗窃、包含个人信息的数据库遭到黑客入侵,个人信息被错误提供给不当对象。若无任何合法理由就浏览敏感客户记录的员工可能构成数据泄露事件,因为其并无访问相关信息的明确授权。
1. 这些信息不用通报
数据泄露事件通报计划使用“符合标准的数据泄露”这一表述,用以强调并非所有违规皆须进行通报。
- 英联邦法律所禁止或规定不可使用或披露的信息。
- 澳大利亚联邦警察局(AFP)、澳大利亚警备部队或澳大利亚国家及领土相关服务机构、澳大利亚犯罪委员会以及澳大利亚证券与投资委员会等执法机构不需要向个人通报符合标准要求的数据泄露事件,但前提要求相关首席执行官有合理理由认定通报个人有可能损害执法机构或执法机构代表进行与执法相关的活动。尽管并非所有数据泄露事件皆须进行通报,但AFP发言人在采访当中表示,AFP将对一切符合该项法案要求且不属于豁免范畴的情况执行必要的通报义务。
- 澳大利亚信息专员指定不受数据泄露事件通报计划约束的泄露事件,同样可以免于进一步披露。
- 根据澳大利亚2012年《健康记录和信息隐私权法》第75条规定,其中涵盖的数据泄露事件不需要根据“数据泄露事件通报(NDB)”进行通报,因为其设立有自己的约束流程,且同样接受信息专员办公室的管理。
2. 需要明确危害级别
由于数据泄露事件通报计划当中规定出一项客观性基准,因此该计划要求专业人员对访问或披露“可能会带来严重危害”作出评估。“Gilbert + Tobin”特别顾问梅丽莎·法伊在采访中进一步指出,在实际评估工作当中,相关组织机构应将其中的“可能”解释为“很可能”,而不仅仅是存在一定可能性。
隐私法本身并没有明确界定“严重危害”的定义,但在数据泄露事件背景下,其可能指对目标个体的严重身体、心理、情绪、财务或声誉损害。
与个人健康状况相关的信息;常用于身份欺诈的各类文件,包括医疗卡、驾驶执照与护照信息;财务信息以及各种类型的个人信息(而非单一个人信息)组合,往往可能曝光更多个人情况并造成严重危害。
在评估严重危害风险时,各职能实体应考虑数据泄露后可能引发的各种潜在后果。
三、通报流程
怀疑可能发生符合标准要求的数据泄露事件的组织及机构,必须根据上述指导方针进行“合理且快速的评估”,从而确定数据泄露是否可能对受影响的个人造成严重危害。
如果某一职能实体拥有合理理由以认定存在符合标准要求的数据泄露行为,则必须及时将相关严重危害风险通报给相关人员及信息专员。披露相关数据泄露情况的组织机构必须填写《数据泄露事件通报》声明。
在向受影响个人及信息专员进行通报时,报告当中必须包含以下信息:
- 组织机构的身份与联系人详细信息;
- 数据泄露事件描述;
- 相关信息类型;
- 个人应对数据泄露事件时应采取的建议性步骤。
受影响个人应在数据泄露事件被发现后的30天内得到通知,在此期间,相关职能实体可以自行开展违规行为调查。数据泄露事件通报计划还为职能实体提供机会以及时采取措施应对数据泄露事件,从而避免发布进一步通报,例如向个人通报数据泄露事件。
1. 数据泄露事件未进行披露的情况
若未能遵守数据泄露事件通报计划进行披露,则将被视为“干扰个人隐私”的行为,并引发相关后果。
Gilbert+Tobin的法伊解释称,若组织机构被发现隐瞒符合通报标准的数据泄露事件,或者被发现没有报告符合标准的数据泄露事件,则将被视为存在个人隐私数据泄露并对个人隐私产生严重或反复干扰的行为,并将因此面对隐私法所制定的民事处罚条款。
如果组织机构未进行通报的数据泄露事件相当严重,或者该组织未能在两个或更多不同场合对符合标准要求的数据泄露事件进行通报,则信息专员办公室有权根据民事处罚要求对其处以最高210万澳元(约合人民币1050万元)的罚款,具体数额取决于数据泄露可能导致之后果的严重性与潜在危害。
组织也必须考虑到自身品牌声誉受损并导致商业损害的风险,特别是考虑到消费者对于组织机构数据管理政策及流程的信任度正愈发重要这一历史背景,能够快速、高效且全面地对数据泄露事件作出响应将决定业务的最终命运。2017年Equifax公司因数据泄露事件遭遇的影响及作出的响应方式就是最典型的例子。
2. 信息委员会与信息专员办公室的职能作用
信息专员在数据泄露事件通报计划当中扮演多种角色,包括接收符合标准的数据泄露事件通知; 鼓励各方遵守此计划,包括处理投诉及进行调查,并针对违规事件采取其它监管行动; 向监管机构提供意见及指导,并向社会人士介绍此项计划的运作情况等等。
信息专员办公室已经发布了关于此项计划的指导性方针,其中包含违规后果处理的具体说明信息。
四、为什么要对数据泄露事件进行通报?
澳大利亚联邦政府曾于2017年2月第三次尝试通过数据泄露事件通报法。2015年2月,澳大利亚联邦议会情报与安全委员会曾就数据泄露事件通报计划提出建议,此后澳大利亚开始实施强制性数据保留法。
1. 怎样建设通报程序基础?
根据 Gilbert+Tobin 方面的说法,企业至少应该了解自身所掌握的数据、保存位置以及哪些人员有权访问这些数据。评估现有数据隐私与安全策略及程序,从而确保组织能够在发生数据泄露事件时适当而迅速地做出响应。
法伊在采访中表示,相关工作中应包括制定一项数据泄露响应计划,确保组织机构内各相关方切实开展合作,并迅速将合适的人员引入响应流程——包括来自IT、网络安全、公共关系、管理以及人力资源等部门的成员。此外,各组织机构还应不断审计并加强网络安全战略、保护措施与工具,从而预防数据泄露事件的发生。
法伊认为,组织成员对数据泄露事件通报计划的了解也非常重要,因此人员应接受适当培训,包括确定何时会发生符合标准要求的数据泄露事件,以及如何遵循职能实体内的政策与程序以确定后续处理方案。而安全事件响应工作还应进一步延伸至代表职能机构处理个人信息的其它供应商与第三方合作伙伴处。
2. 考虑是否有国际业务覆盖欧洲地区
欧盟《通用数据保护条例》(简称GDPR)将于2018年5月25日正式生效,全球各持有欧盟地区个人用户数据的组织机构都必须提高自身保护水平,且明确数据的具体存储位置。
未遵守法规要求的组织机构可能被处于最高2000万欧元的行政罚款,或接受相当于上财年全球年度总营业额4%的罚款,以二者中较高者为准。
然而,法律要求并不权限于欧盟区域之内,包括澳大利亚在内的世界其它国家也同样受到影响。如果其业务延伸至欧盟范围之内,包括在欧盟提供产品与服务,或者需要追踪欧盟民众的活动数据,则同样需要接受上述GDPR法规的监管。
通用数据保护条例与澳大利亚隐私法中包含一系列共通性要求,但二者间也存在一些差异,其中一大关键性因素在于数据泄露事件的披露时间。
根据数据泄露事件通报计划,澳大利亚各组织机构最多有30天时间公布数据泄露事件;而根据通用数据保护条例,机构需要在发现事件后的72小时内向主管部门通报,除非能够证明个人数据泄露不会对自然人的权利与自由造成风险。
法伊强调称,“总如果澳大利亚的某一组织机构受到GDPR《通用数据保护条例》的约束,则其必须同时遵守两项法案所提出的义务。尽管这两项制度存在不同的要求,但彼此之间并不互斥。不过对于数据泄露事件而言,欧盟方面的法案在要求上更为严格。”
五、事件通报程序如何真正落地?
任何曾从供应商手中购买安全解决方案的组织都很清楚,要全面保护组织机构并非易事。
赛门铁克公司澳大利亚、新西兰与日本分部CTO尼克·赛维德斯在采访中表示,“在处理数据泄露事件时,每位客户都希望能够利用单一产品、流程或者标准来实现彻底预防。”
实际上,数据泄露事件并非总能得到有效预防,多数情况下仅仅可以得到缓解。数据泄露事件有可能源自网络入侵、恶意内部人士威胁,甚至是善意内部人员造成的意外流出,这一切都拥有对应的缓解措施。
赛维德斯将缓解措施分为三个部分:
- 其一,处理恶意攻击者;
- 其二,实现以信息为中心的安全性(适用于全部情况);
- 其三,缓解性质的响应计划。
赛维德斯表示,大多数组织并不具备有效的应对计划以处理数据泄露事件。组织机构可能已经制定有计划,但就目前来看,这些计划往往太过学术化、理论化且缺少可行性,甚至通常会忽略事件本身。
组织需要建立报告事件流程,明确哪些人员需要参与其中,遵循怎样的处理方法,同时提供明确的公关信息。用户明显更重视透明度与清晰的说明,而对某些组织提供的模棱两可的官样文章拒绝买账。
皮尔格瑞姆则补充称,“此项计划的启动也将成为各类机构及时收集其所持有的个人信息,并重新思考如何加以管理的重要机会。通过确保个人信息得到妥善保护与管理,企业将能够抢先一步降低发生数据泄露事件的可能性。”
