GDPR執法即將上路,歐盟資料保護工作小組於今年2月6日修正通過「個人資料侵害通報指引」個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。本文針對個資侵害定義、通報監管機關之程序等重點內容,擇要析述。
因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或有譯為一般資料保護規則,下簡稱GDPR)執法即將上路,針對個人資料侵害之通報義務,歐盟資料保護工作小組(Article 29 Data Protection Working Party,WP29)特於本(2018)年2月6日修正通過「個人資料侵害通報指引」(Guidelines on Personal data breach notification under Regulation 2016/679),其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。惟囿於篇幅,本文茲先就個資侵害定義、通報監管機關之程序等重點內容,擇要析述。
個資侵害定義與種類
依據GDPR第4條(12)之定義,個資侵害係指:「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說,個人資料之喪失包括含有控制者(Controller,或有譯為控管者、管理人)顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密,或經控制者加密,但其金鑰已滅失。
歐盟資料保護工作小組,依據資訊安全三原則,將個資侵害之種類區分為:
1.機密性侵害(Confidentiality Breach):未經授權、意外揭露或獲取個人資料。
2.完整性侵害(Integrity Breach):未經授權或意外竄改個人資料。
3.可用性侵害(Availability Breach):在意外或未經授權之情況下,遺失個人資料存取權限或資料遭銷燬。
又前開個資侵害事件種類,不以來自組織外部攻擊者為限,因組織內部處理行為致違反安全原則,亦屬之。
知悉通報限72小時內執行
依按GDPR第33條(1)之規定,當個資侵害發生時,在如果可行之情況下,控制者應即時(不得無故拖延)於知悉侵害時起72小時內,依第55條之規定,將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者,不在此限。倘未能於72小時內通報監管機關者,應敘明遲延之事由。
但是控制者「知悉」時點之判斷標準又該如何界定?歐盟資料保護工作小組認為,當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」(reasonable degree of certainty)時,即應視為其已知悉。以具體事例而言,下列情況均屬所謂「知悉」:
1. 在未加密個人資料的情況下遺失USB密鑰(USB Key),通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事,惟仍應為通知,因發生可用性侵害之情事,且已達合理確信的程度。職是,應以控制者意識到該密鑰遺失時起為其「知悉」時點。
2. 第三人通知控制者其意外地收到控制者的客戶個人資料,並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時,毫無疑問地即為其「知悉」時點。如誤寄之電子郵件,經非原定收件人通知寄件者之情形。
3. 當控制者檢測到其網路恐遭入侵,並針對其系統進行檢測以確認個人資料是否遭洩漏,嗣後復經證實情況屬實,此際即屬「知悉」。
4. 網路犯罪者在駭入系統後,聯繫控制者以索要贖金。在這種情況下,控制者經檢測系統並確認受攻擊後,亦屬「知悉」。
 |
| ▲歐盟一般資料保護規則上路倒數計時,事先了解規畫相關配套才能避免高額罰款。 |
值得注意的是,在經個人、媒體組織、其他來源或控制者自我檢測後,控制者或將進行短暫調查,以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況,控制者將不會被視為「知悉」。然而,控制者應儘速開展初步調查,以形成是否發生侵害事故之合理確信,隨後可另進行更詳盡之調查。