是否需要向受影响的(或其他*)资料主体通知资料外泄?
为了帮助您决定是否需要向受影响的或其他资料主体通知资料外泄,您应当:
- 考虑资料外泄对于资料主体的影响
- 识别和理解通知资料外泄涉及主体的目的
- 若受影响的个人要求取得该等信息,应确定在相关法域内是否有义务向其提供信息
从资料隐私的角度来看,《通用数据保护规则》(预计2018年初生效)将适用于欧盟各国,并将要求数据控制人将可能导致高风险的资料外泄事件通知受影响的个人、不得无故拖延通知。
事件管理团队应当实施“影响评估”,以考虑受影响的个人可能面临的资料外泄风险。 您应当考虑:
- 丢失的资料的敏感性(例如:是否涉及私人信息或安全/财务账户信息)?
- 丢失的资料是否受保护(例如:是否加密)?
- 资料外泄的具体情形是否表明资料将被不当使用?
- 受影响的个人是否难以承受丢失的资料被滥用的后果?
如果您决定向受影响的个人通知资料外泄事件,通知应当明确说明目的。请考虑相关的背景因素,例如:
- 您是否负有合同通知义务?
- 在与受影响的个人的沟通过程中,已向其就涉事资料提供了什么样的隐私政策或其他书面陈述(如有)?
- 通知是否可以帮助受影响的个人减少/管理任何风险?
- 是否存在过度通知危险? 如果通知不能达成实际目的,或者相比较资料外泄可能产生的后果,通知将对被通知人产生不成比例的影响,则该通知可能存在问题。例如:
- 如果您仅丢失了5,000人中的5位个人的资料,但无法确定是哪五位,通知全部5,000人可能不成比例
- 如果资料外泄导致的丢失是资料损坏,而该等资料可以恢复,则不需要通知
- 注意通知方式。 通知一般包括丢失的原因和时间、涉及的资料以及企业已采取哪些应对措施。但是,通知应当避免承认与此相关的任何法律责任,或者与违约或违法相关的任何责任
- 无论您是否决定向受影响的个人通知资料外泄事件,有些法域规定必须在受影响的个人要求时提供与资料外泄相关的详细信息
*其他资料主体的例子包括商业客户、集团公司或您的企业负有合同义务的其他当事方(如雇员)。
