强制性资料泄露通知要求是欧洲新资料保护制度GDPR引入的基本变化之一。根据最近的研究,自2018年5月25日GDPR适用于欧盟以来,已向主管当局通报了近60,000个数据泄露事件。 资料泄露可能有多种原因,其中大部分都不是故意的网络攻击造成的。
您可能认为源代码中的安全问题应该被视为技术问题,因此,请关注缓解步骤。然而,有关最严重的安全漏洞(例如Facebook,优步和Equifax案例)的新闻强调,未发现的程式码漏洞可能导致大规模资料泄露。如果一家科技公司发现其程式码中存在潜在的漏洞导致资料泄密,则组织还必须在可行的情况下在发现漏洞后的72小时内通知主管当局。在某些情况下,可能还需要与使用者进行通讯。
有关资料泄露通知的规则非常复杂,显然并非每个安全更新都会触发通知要求。为了能够满足新的资料保护义务,您的安全团队应该了解与检测到的源代码漏洞相关的一些因素和注意事项。
第一件事:个人资料是否受到影响?
GDPR将“个人资料泄露”定义为:
“ 违反安全规定,导致意外或非法破坏,丢失,更改,未经授权披露或访问传输,储存或以其他方式处理的个人资料。” [2]
因此,资料泄露可能会影响个人资料的机密性,可用性和/或完整性。正如第29条资料保护工作组在其指南[3](指南)中指出的那样 ,资料泄露是一种安全事件。如果安全事件涉及违反个人资料,则资料保护规则才会启动。为了确定GDPR是否适用,定义可能受事件影响的资讯范围非常重要。如果事件似乎涉及与可以直接或间接识别的个人相关的任何资讯,除了修补漏洞之外,您还应该考虑GDPR的规则。确保尽快让您的GDPR专家或DPO参与进来。
调查!
虽然源代码不安全可能导致资料泄露,但并非所有安全事件都是可报告的。GDPR要求管理人向违规行为通知主管监管机构,除非不太可能导致不利影响。 [4]不利影响可能是,例如,失去对个人资料的控制,声誉受损,歧视,身份盗窃或欺诈,以及经济损失。因此,除了识别可能受事件影响的资讯类别外,评估漏洞可能带来的潜在风险也很重要,然后在必要时通知相关机构。
什么时候需要GDPR通知?
不幸的是,GDPR没有提供违规严重程度的阈值。此外,当局没有公布官方评估工具或关于GDPR下源代码漏洞的详细观点。但是,指南和国家当局的建议规定了某些例子,这些例子可作为评估事件的起点。
让我们看一下指南中的一个示例,其中网站托管公司检测到控制网站使用者授权的程式码中的错误。
毫无疑问,如果该公司手头有任何证据表明该漏洞已被利用并且资料被不良行为者非法访问,那么这将是一个可报告的漏洞,可能涉及资料主体的高风险。 [5]
此外,如果漏洞非常明显,任何人都可以通过简单的技巧检视其他使用者的账户,则存在未经授权访问的重大风险。这可能是一个值得注意的漏洞,特别是如果不安全已经存在很长时间并且该公司没有全面的伐木系统。 [6]在这种情况下,无法确定访问是否已经发生。
另一方面,如果这种情况发生在一段短时间内,人们可能会争辩说未经授权访问的可能性非常有限。如果您的公司储存了详细的使用者访问日志,并且没有任何迹象表明该漏洞已被利用,那么该指南表明该事件可能不是一个可通知的漏洞。 [7]
文件是关键
假设您很幸运在外部各方或黑客之前发现了不安全因素,或者您得出的结论是个人资料受此漏洞影响的潜在风险非常低,您可能不需要通知资料保护机构。
然而,即使在这种情况下,仅仅释出相关补丁也是不够的。必须始终记录事故。作为GDPR下的问责制要求的一部分,您必须保留潜在资料泄露的记录,无论您是否需要通知当局。
未在需要时通知他们或记录违规行为可能导致重大罚款; 高达1000万欧元,占全球营业额的2%。毫无疑问,确保您有一个流程来确保您检测到漏洞并在必要时及时通知当局违规行为并记录必要的详细资讯,这一点非常重要。
