澳大利亞制定的“數(shù)據(jù)泄露事件通報(NDB)”計劃將于2018年2月22日正式生效。這一政策的出臺將給澳大利亞的企業(yè)與個人帶來怎樣的影響?反映出組織機構(gòu)在安全程序上存在那些缺陷?

[[219537]]

一、“數(shù)據(jù)泄露事件通報(NDB)”怎么通報?

由于立法方希望借澳大利亞“數(shù)據(jù)泄露事件通報(NDB)”計劃對個人加以保護，因此當(dāng)NDB正式生效時各類組織機構(gòu)都需要在保護自身持有的數(shù)據(jù)方面承擔(dān)更多責(zé)任。

“數(shù)據(jù)泄露事件通報(NDB)”計劃歸屬于澳大利亞《1988年隱私法》中的第IIIC部分，其中規(guī)定了對各職能實體在應(yīng)對數(shù)據(jù)泄露事件方面的具體要求。這意味著澳大利亞隱私法案所涵蓋的所有機構(gòu)及組織在發(fā)現(xiàn)相關(guān)事件后，將必須快速發(fā)布通報以披露可能導(dǎo)致個人信息遭受“嚴重損害”的數(shù)據(jù)泄露問題。個人稅號(TFN)接收人也應(yīng)在TFN信息涉及數(shù)據(jù)泄露的情況下，遵循數(shù)據(jù)泄露事件通報的指導(dǎo)要求。

1. 泄露事件向誰通報?

根據(jù)此項計劃，除通報受影響的個人之外，相關(guān)組織機構(gòu)還必須向相關(guān)受害者提供應(yīng)對性舉措/建議，包括后續(xù)處理其自有信息的辦法。各項數(shù)據(jù)泄露通報也必須遞交至澳大利亞信息專員蒂莫西·皮爾格瑞姆手中。

皮爾格瑞姆在采訪當(dāng)中解釋稱，NDB計劃正式確立了業(yè)界對于數(shù)據(jù)泄露事件透明度的期望。通報將為個人提供信息與建議，幫助其采取措施保護個人信息，同時盡可能減少其遭受危害的風(fēng)險。

2. 這些小機構(gòu)/企業(yè)不需要通報”

年營業(yè)額低于300萬澳元(約合人民幣1540萬元)的情報機構(gòu)、非營利性組織或小型企業(yè)、信用報告機構(gòu)、衛(wèi)生服務(wù)供應(yīng)商以及政黨都不會受到數(shù)據(jù)泄露事件通報計劃的約束。

[[219538]]

二、并非所有“數(shù)據(jù)泄露事件”都需要披露

一般而言，所謂數(shù)據(jù)泄露是指個人信息遭遇未經(jīng)授權(quán)的訪問、丟失或披露，且此類信息可能會對相關(guān)個人造成嚴重危害。數(shù)據(jù)泄露的具體實例包括：包含客戶個人信息的設(shè)備遭遇丟失或盜竊、包含個人信息的數(shù)據(jù)庫遭到黑客入侵，個人信息被錯誤提供給不當(dāng)對象。若無任何合法理由就瀏覽敏感客戶記錄的員工可能構(gòu)成數(shù)據(jù)泄露事件，因為其并無訪問相關(guān)信息的明確授權(quán)。

1. 這些信息不用通報

數(shù)據(jù)泄露事件通報計劃使用“符合標(biāo)準(zhǔn)的數(shù)據(jù)泄露”這一表述，用以強調(diào)并非所有違規(guī)皆須進行通報。

• 英聯(lián)邦法律所禁止或規(guī)定不可使用或披露的信息。
• 澳大利亞聯(lián)邦警察局(AFP)、澳大利亞警備部隊或澳大利亞國家及領(lǐng)土相關(guān)服務(wù)機構(gòu)、澳大利亞犯罪委員會以及澳大利亞證券與投資委員會等執(zhí)法機構(gòu)不需要向個人通報符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件，但前提要求相關(guān)首席執(zhí)行官有合理理由認定通報個人有可能損害執(zhí)法機構(gòu)或執(zhí)法機構(gòu)代表進行與執(zhí)法相關(guān)的活動。盡管并非所有數(shù)據(jù)泄露事件皆須進行通報，但AFP發(fā)言人在采訪當(dāng)中表示，AFP將對一切符合該項法案要求且不屬于豁免范疇的情況執(zhí)行必要的通報義務(wù)。
• 澳大利亞信息專員指定不受數(shù)據(jù)泄露事件通報計劃約束的泄露事件，同樣可以免于進一步披露。
• 根據(jù)澳大利亞2012年《健康記錄和信息隱私權(quán)法》第75條規(guī)定，其中涵蓋的數(shù)據(jù)泄露事件不需要根據(jù)“數(shù)據(jù)泄露事件通報(NDB)”進行通報，因為其設(shè)立有自己的約束流程，且同樣接受信息專員辦公室的管理。

2.  需要明確危害級別

由于數(shù)據(jù)泄露事件通報計劃當(dāng)中規(guī)定出一項客觀性基準(zhǔn)，因此該計劃要求專業(yè)人員對訪問或披露“可能會帶來嚴重危害”作出評估。“Gilbert + Tobin”特別顧問梅麗莎·法伊在采訪中進一步指出，在實際評估工作當(dāng)中，相關(guān)組織機構(gòu)應(yīng)將其中的“可能”解釋為“很可能”，而不僅僅是存在一定可能性。

[[219539]]

隱私法本身并沒有明確界定“嚴重危害”的定義，但在數(shù)據(jù)泄露事件背景下，其可能指對目標(biāo)個體的嚴重身體、心理、情緒、財務(wù)或聲譽損害。

與個人健康狀況相關(guān)的信息;常用于身份欺詐的各類文件，包括醫(yī)療卡、駕駛執(zhí)照與護照信息;財務(wù)信息以及各種類型的個人信息(而非單一個人信息)組合，往往可能曝光更多個人情況并造成嚴重危害。

在評估嚴重危害風(fēng)險時，各職能實體應(yīng)考慮數(shù)據(jù)泄露后可能引發(fā)的各種潛在后果。

三、通報流程

懷疑可能發(fā)生符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件的組織及機構(gòu)，必須根據(jù)上述指導(dǎo)方針進行“合理且快速的評估”，從而確定數(shù)據(jù)泄露是否可能對受影響的個人造成嚴重危害。

如果某一職能實體擁有合理理由以認定存在符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露行為，則必須及時將相關(guān)嚴重危害風(fēng)險通報給相關(guān)人員及信息專員。披露相關(guān)數(shù)據(jù)泄露情況的組織機構(gòu)必須填寫《數(shù)據(jù)泄露事件通報》聲明。

在向受影響個人及信息專員進行通報時，報告當(dāng)中必須包含以下信息：

• 組織機構(gòu)的身份與聯(lián)系人詳細信息;
• 數(shù)據(jù)泄露事件描述;
• 相關(guān)信息類型;
• 個人應(yīng)對數(shù)據(jù)泄露事件時應(yīng)采取的建議性步驟。

受影響個人應(yīng)在數(shù)據(jù)泄露事件被發(fā)現(xiàn)后的30天內(nèi)得到通知，在此期間，相關(guān)職能實體可以自行開展違規(guī)行為調(diào)查。數(shù)據(jù)泄露事件通報計劃還為職能實體提供機會以及時采取措施應(yīng)對數(shù)據(jù)泄露事件，從而避免發(fā)布進一步通報，例如向個人通報數(shù)據(jù)泄露事件。

1. 數(shù)據(jù)泄露事件未進行披露的情況

若未能遵守數(shù)據(jù)泄露事件通報計劃進行披露，則將被視為“干擾個人隱私”的行為，并引發(fā)相關(guān)后果。

Gilbert+Tobin的法伊解釋稱，若組織機構(gòu)被發(fā)現(xiàn)隱瞞符合通報標(biāo)準(zhǔn)的數(shù)據(jù)泄露事件，或者被發(fā)現(xiàn)沒有報告符合標(biāo)準(zhǔn)的數(shù)據(jù)泄露事件，則將被視為存在個人隱私數(shù)據(jù)泄露并對個人隱私產(chǎn)生嚴重或反復(fù)干擾的行為，并將因此面對隱私法所制定的民事處罰條款。

如果組織機構(gòu)未進行通報的數(shù)據(jù)泄露事件相當(dāng)嚴重，或者該組織未能在兩個或更多不同場合對符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件進行通報，則信息專員辦公室有權(quán)根據(jù)民事處罰要求對其處以最高210萬澳元(約合人民幣1050萬元)的罰款，具體數(shù)額取決于數(shù)據(jù)泄露可能導(dǎo)致之后果的嚴重性與潛在危害。

組織也必須考慮到自身品牌聲譽受損并導(dǎo)致商業(yè)損害的風(fēng)險，特別是考慮到消費者對于組織機構(gòu)數(shù)據(jù)管理政策及流程的信任度正愈發(fā)重要這一歷史背景，能夠快速、高效且全面地對數(shù)據(jù)泄露事件作出響應(yīng)將決定業(yè)務(wù)的最終命運。2017年Equifax公司因數(shù)據(jù)泄露事件遭遇的影響及作出的響應(yīng)方式就是最典型的例子。

2. 信息委員會與信息專員辦公室的職能作用

信息專員在數(shù)據(jù)泄露事件通報計劃當(dāng)中扮演多種角色，包括接收符合標(biāo)準(zhǔn)的數(shù)據(jù)泄露事件通知; 鼓勵各方遵守此計劃，包括處理投訴及進行調(diào)查，并針對違規(guī)事件采取其它監(jiān)管行動; 向監(jiān)管機構(gòu)提供意見及指導(dǎo)，并向社會人士介紹此項計劃的運作情況等等。

信息專員辦公室已經(jīng)發(fā)布了關(guān)于此項計劃的指導(dǎo)性方針，其中包含違規(guī)后果處理的具體說明信息。

[[219540]]

四、為什么要對數(shù)據(jù)泄露事件進行通報?

澳大利亞聯(lián)邦政府曾于2017年2月第三次嘗試通過數(shù)據(jù)泄露事件通報法。2015年2月，澳大利亞聯(lián)邦議會情報與安全委員會曾就數(shù)據(jù)泄露事件通報計劃提出建議，此后澳大利亞開始實施強制性數(shù)據(jù)保留法。

1. 怎樣建設(shè)通報程序基礎(chǔ)?

根據(jù) Gilbert+Tobin 方面的說法，企業(yè)至少應(yīng)該了解自身所掌握的數(shù)據(jù)、保存位置以及哪些人員有權(quán)訪問這些數(shù)據(jù)。評估現(xiàn)有數(shù)據(jù)隱私與安全策略及程序，從而確保組織能夠在發(fā)生數(shù)據(jù)泄露事件時適當(dāng)而迅速地做出響應(yīng)。

法伊在采訪中表示，相關(guān)工作中應(yīng)包括制定一項數(shù)據(jù)泄露響應(yīng)計劃，確保組織機構(gòu)內(nèi)各相關(guān)方切實開展合作，并迅速將合適的人員引入響應(yīng)流程——包括來自IT、網(wǎng)絡(luò)安全、公共關(guān)系、管理以及人力資源等部門的成員。此外，各組織機構(gòu)還應(yīng)不斷審計并加強網(wǎng)絡(luò)安全戰(zhàn)略、保護措施與工具，從而預(yù)防數(shù)據(jù)泄露事件的發(fā)生。

法伊認為，組織成員對數(shù)據(jù)泄露事件通報計劃的了解也非常重要，因此人員應(yīng)接受適當(dāng)培訓(xùn)，包括確定何時會發(fā)生符合標(biāo)準(zhǔn)要求的數(shù)據(jù)泄露事件，以及如何遵循職能實體內(nèi)的政策與程序以確定后續(xù)處理方案。而安全事件響應(yīng)工作還應(yīng)進一步延伸至代表職能機構(gòu)處理個人信息的其它供應(yīng)商與第三方合作伙伴處。

2. 考慮是否有國際業(yè)務(wù)覆蓋歐洲地區(qū)

歐盟《通用數(shù)據(jù)保護條例》(簡稱GDPR)將于2018年5月25日正式生效，全球各持有歐盟地區(qū)個人用戶數(shù)據(jù)的組織機構(gòu)都必須提高自身保護水平，且明確數(shù)據(jù)的具體存儲位置。

未遵守法規(guī)要求的組織機構(gòu)可能被處于最高2000萬歐元的行政罰款，或接受相當(dāng)于上財年全球年度總營業(yè)額4%的罰款，以二者中較高者為準(zhǔn)。

然而，法律要求并不權(quán)限于歐盟區(qū)域之內(nèi)，包括澳大利亞在內(nèi)的世界其它國家也同樣受到影響。如果其業(yè)務(wù)延伸至歐盟范圍之內(nèi)，包括在歐盟提供產(chǎn)品與服務(wù)，或者需要追蹤歐盟民眾的活動數(shù)據(jù)，則同樣需要接受上述GDPR法規(guī)的監(jiān)管。

通用數(shù)據(jù)保護條例與澳大利亞隱私法中包含一系列共通性要求，但二者間也存在一些差異，其中一大關(guān)鍵性因素在于數(shù)據(jù)泄露事件的披露時間。

根據(jù)數(shù)據(jù)泄露事件通報計劃，澳大利亞各組織機構(gòu)最多有30天時間公布數(shù)據(jù)泄露事件;而根據(jù)通用數(shù)據(jù)保護條例，機構(gòu)需要在發(fā)現(xiàn)事件后的72小時內(nèi)向主管部門通報，除非能夠證明個人數(shù)據(jù)泄露不會對自然人的權(quán)利與自由造成風(fēng)險。

法伊強調(diào)稱，“總?cè)绻拇罄麃喌哪骋唤M織機構(gòu)受到GDPR《通用數(shù)據(jù)保護條例》的約束，則其必須同時遵守兩項法案所提出的義務(wù)。盡管這兩項制度存在不同的要求，但彼此之間并不互斥。不過對于數(shù)據(jù)泄露事件而言，歐盟方面的法案在要求上更為嚴格。”

[[219541]]

五、事件通報程序如何真正落地?

任何曾從供應(yīng)商手中購買安全解決方案的組織都很清楚，要全面保護組織機構(gòu)并非易事。

賽門鐵克公司澳大利亞、新西蘭與日本分部CTO尼克·賽維德斯在采訪中表示，“在處理數(shù)據(jù)泄露事件時，每位客戶都希望能夠利用單一產(chǎn)品、流程或者標(biāo)準(zhǔn)來實現(xiàn)徹底預(yù)防。”

實際上，數(shù)據(jù)泄露事件并非總能得到有效預(yù)防，多數(shù)情況下僅僅可以得到緩解。數(shù)據(jù)泄露事件有可能源自網(wǎng)絡(luò)入侵、惡意內(nèi)部人士威脅，甚至是善意內(nèi)部人員造成的意外流出，這一切都擁有對應(yīng)的緩解措施。

賽維德斯將緩解措施分為三個部分：

• 其一，處理惡意攻擊者;
• 其二，實現(xiàn)以信息為中心的安全性(適用于全部情況);
• 其三，緩解性質(zhì)的響應(yīng)計劃。

賽維德斯表示，大多數(shù)組織并不具備有效的應(yīng)對計劃以處理數(shù)據(jù)泄露事件。組織機構(gòu)可能已經(jīng)制定有計劃，但就目前來看，這些計劃往往太過學(xué)術(shù)化、理論化且缺少可行性，甚至通常會忽略事件本身。

組織需要建立報告事件流程，明確哪些人員需要參與其中，遵循怎樣的處理方法，同時提供明確的公關(guān)信息。用戶明顯更重視透明度與清晰的說明，而對某些組織提供的模棱兩可的官樣文章拒絕買賬。

皮爾格瑞姆則補充稱，“此項計劃的啟動也將成為各類機構(gòu)及時收集其所持有的個人信息，并重新思考如何加以管理的重要機會。通過確保個人信息得到妥善保護與管理，企業(yè)將能夠搶先一步降低發(fā)生數(shù)據(jù)泄露事件的可能性。”