数据隐私101:如何管理数据泄露和安全事件?

2019-05-22 04:08:05 东乡姿禾 26
发布时间:2019年4月8日下午5点10分
更新时间:2019年4月8日下午5点10分

我们生活在一个个人数据非常有价值的时代,现在许多商业模式和经济实际上是围绕其收集和使用而建立的。 为了防止或至少阻止滥用,政府制定了旨在规范这种现象的法律。 菲律宾有第10173号共和国法案或2012年数据隐私法案(DPA),国家隐私委员会(NPC)负责监督其正确实施。

对许多人来说,理解法律的许多规定并将DPA合规性转化为组织的日常运作是一项艰巨但必要的任务。

为了解决这个问题,我们直接找到了消息来源,并签了两位专家--Jate Jacob,Ateneo de Manila大学的数据保护官和NPC隐私政策办公室的前负责人; 和全国人大政策与规划副私隐专员常春藤帕图。

从两个有利位置可以看出,这两个文章将起到一系列文章的作用,这些文章涉及法律的各种合规要素,并以FAQ形式呈现。 在本期中,他们谈论安全事件。

安全事件和个人数据泄露之间有什么区别?

常春藤 :NPC第16-03号通知涉及个人数据泄露管理,将安全事件定义为“影响或倾向于影响数据保护的事件或事件,或可能危及个人数据的可用性,完整性和机密性。 “

它包括可能导致个人数据泄露的事件,如果不是已经实施的保护措施。 该术语是从DPA第20节中采用的,它要求采取安全措施来纠正和减轻“安全事故”。鉴于其目前的用途,该术语似乎是指“信息安全事件”,其定义见ISO 27000系列“可能会损害信息安全性并削弱或损害业务运营的一个或多个不需要或意外的信息安全事件。”

同时,同一个NPC通告将个人数据泄露定义为“导致意外或非法破坏,丢失,更改,未经授权披露或访问传输,存储或以其他方式处理的个人数据的安全漏洞。”此定义取消了欧盟的通用数据保护条例(GDPR),并在DPA第五章的范围内阅读.DPA本身并未定义个人数据泄露并使用“违反”或“安全漏洞”一词。

考虑到DPA在NPC第16-01号通知中对术语及其定义的引用,“安全事件”是指信息安全事件。 它们是否涉及个人数据无关紧要,只要它们可能会损害信息的安全性,一般而言。 另一方面,个人数据泄露是指涉及个人数据的实际安全漏洞。

有哪些不同类型的个人数据泄露?

Jam :主要有三种类型:

  • 保密违规 这是由未经授权披露或访问个人数据引起的。 黑客攻击计算机系统以访问其包含的个人数据是一个常见的例子。 即使无意披露也属于此类别。
  • 诚信违规 当未经授权更改个人数据时会发生这种情况,这会使其正确性,完整性或可靠性变得令人怀疑 - 甚至是毫无价值的。 当包含个人数据的数字文件的一部分损坏时,它属于此类别。 在这种情况下,文件及其包含的数据仍然可访问,但可能不再可靠。
  • 可用性违规 这是因为个人数据的丢失或破坏,无意或其他原因造成的。 当计算机出现故障并且没有备用系统时,它们通常会导致这种类型的破坏。

什么样的个人数据泄露需要向全国人大报告?

Jam :DPA提供了确定哪些数据泄露需要报告给NPC(以及受影响的个人)的条件。 法律规定这三个条件必须全部存在:

  • 受违规行为影响的个人数据涉及敏感的个人信息或可能用于实现身份欺诈的任何其他信息。 一个人的财务或经济状况,他或她的账户登录数据,生物识别数据,身份证明文件的副本,许可证或政府颁发的ID号码等唯一标识符是常见的例子。
  • 有理由相信个人数据可能是由未经授权的人获得的。 换句话说,如果信息被删除或销毁,则不会出现这种情况。
  • 有理由相信,违规行为可能会对任何受影响的个人造成严重伤害的真正风险。 这可能是三者中最难评估的。 虽然NPC在解决这一难题时提供了额外的考虑因素,但组织对其行动(即通知)和/或不作为的后果的理解通常决定了它是否会将此条件视为特定违规行为中存在的情况。

违反NPC的通知应包含哪些内容?

常春藤 :通知应包括:

  1. 违反的性质 它必须提供一份报告,详细说明个人数据泄露的情况,范围和可能的后果。
  2. 个人数据可能涉及 通知应描述违规所涉及的个人数据的类型或种类。
  3. 采取措施解决违规问题 最重要的是,它应该具有或证明报告方为管理违规行为所采取的行动,以及它能够减轻对数据主体可能造成的任何伤害或负面后果的程度。

通知中应包含的具体内容见NPC第16-03号通知。

安全事件的常见原因是什么?

Jam :很多事情都可能导致或导致安全事故。 有些是人造的。 其他人不是。 其中值得注意的包括:

  • 数据或其容器丢失或被盗 通常会听到有关个人笔记本电脑如何用于办公室工作(包括个人数据存储)的故事,这些故事在被留在家中或停放在汽车后会被盗。
  • 不适当或缺乏访问控制 访问控制对于维护个人数据的安全性至关重要。 一旦人们开始与同事和朋友分享他们的密码和密钥,或者让房间或机柜解锁,就几乎不存在访问控制。 这将导致数据泄露和其他问题。
  • 设备故障 有时,计算机和其他存储设备会受到指责。 人们偶尔会丢失他们在笔记本电脑或拇指驱动器中保存的有价值信息,这些信息会突然停止工作。
  • 人为错误 无论是在将数据编码到电子文件系统时犯下重大错误的助理,还是错误配置公司网站或应用程序的IT人员,人为错误仍然是安全事件的主要原因之一。

组织可以做些什么来避免或至少最小化遇到安全事件的风险?

常春藤 组织应该有安全事件或违规管理程序。 这不应被视为仅指组织的事件响应程序,或者一旦有理由相信发生了违规行为就采取的行动。

该计划也应包括预防和最小化程序。 这通常需要制定和实施数据保护的安全措施。 它还意味着实施隐私管理计划,该计划必须包括数据治理,风险评估和能力建设。

应该使用隐私设计和默认方法构建强大的数据处理系统。 还应该有定期监测,事件响应和报告以及损害缓解协议和定期审查违规管理计划的流程。 这些并不能保证无事故的环境,但它们在确保此类事件很少和远期之间有很长的路要走,并且不会造成严重的伤害或损害。

Ivy Patdu是国家隐私委员会的成员,他是负责政策和规划的副隐私专员。 她还是电子健康隐私专家组的成员,也是Ateneo de Manila法学院和San Beda Law of Law-Alabang的教员。 自2011年以来,她一直致力于数据隐私。

Jam Jacob(@jamjacob)是Ateneo de Manila大学的数据保护官。 他还是民间社会组织媒体替代基金会隐私和监督计划的协调员,并且是政府和私营部门几个组织的顾问。 他曾担任国家隐私委员会隐私政策办公室主任,自2011年以来一直致力于数据隐私。