「數據泄露事件通報」中的這些問題，眼熟么？

E安全2月3日訊 澳大利亞制定的「數據泄露事件通報（NDB）」計劃將於2018年2月22日正式生效。這一政策的出台將給澳大利亞的企業與個人帶來怎樣的影響？反映出組織機構在安全程序上存在那些缺陷？

「數據泄露事件通報（NDB）」怎麼通報？

由於立法方希望借澳大利亞「數據泄露事件通報（NDB）」計劃對個人加以保護，因此當NDB正式生效時各類組織機構都需要在保護自身持有的數據方面承擔更多責任。

「數據泄露事件通報（NDB）」計劃歸屬於澳大利亞《1988年隱私法》中的第IIIC部分，其中規定了對各職能實體在應對數據泄露事件方面的具體要求。這意味著澳大利亞隱私法案所涵蓋的所有機構及組織在發現相關事件後，將必須快速發布通報以披露可能導致個人信息遭受「嚴重損害」的數據泄露問題。個人稅號（TFN）接收人也應在TFN信息涉及數據泄露的情況下，遵循數據泄露事件通報的指導要求。

泄露事件向誰通報？

根據此項計劃，除通報受影響的個人之外，相關組織機構還必須向相關受害者提供應對性舉措/建議，包括後續處理其自有信息的辦法。各項數據泄露通報也必須遞交至澳大利亞信息專員蒂莫西·皮爾格瑞姆手中。

皮爾格瑞姆在採訪當中解釋稱，NDB計劃正式確立了業界對於數據泄露事件透明度的期望。通報將為個人提供信息與建議，幫助其採取措施保護個人信息，同時儘可能減少其遭受危害的風險。

這些小機構/企業不需要通報」

年營業額低於300萬澳元（約合人民幣1540萬元）的情報機構、非營利性組織或小型企業、信用報告機構、衛生服務供應商以及政黨都不會受到數據泄露事件通報計劃的約束。

並非所有「數據泄露事件」都需要披露

一般而言數據泄露是指個人信息遭遇未經授權的訪問、丟失或披露，且此類信息可能會對相關個人造成嚴重危害。數據泄露的具體實例包括：包含客戶個人信息的設備遭遇丟失或盜竊、包含個人信息的資料庫遭到黑客入侵，個人信息被錯誤提供給不當對象。若無任何合法理由就瀏覽敏感客戶記錄的員工可能構成數據泄露事件，因為其並無訪問相關信息的明確授權。

這些信息不用通報

數據泄露事件通報計劃使用「符合標準的數據泄露」這一表述，用以強調並非所有違規皆須進行通報。

英聯邦法律所禁止或規定不可使用或披露的信息。

澳大利亞聯邦警察局（AFP）、澳大利亞警備部隊或澳大利亞國家及領土相關服務機構、澳大利亞犯罪委員會以及澳大利亞證券與投資委員會等執法機構不需要向個人通報符合標準要求的數據泄露事件，但前提要求相關首席執行官有合理理由認定通報個人有可能損害執法機構或執法機構代表進行與執法相關的活動。儘管並非所有數據泄露事件皆須進行通報，但AFP發言人在採訪當中表示，AFP將對一切符合該項法案要求且不屬於豁免範疇的情況執行必要的通報義務。

澳大利亞信息專員指定不受數據泄露事件通報計劃約束的泄露事件，同樣可以免於進一步披露。

根據澳大利亞2012年《健康記錄和信息隱私權法》第75條規定，其中涵蓋的數據泄露事件不需要根據「數據泄露事件通報（NDB）」進行通報，因為其設立有自己的約束流程，且同樣接受信息專員辦公室的管理。

需要明確危害級別

由於數據泄露事件通報計劃當中規定出一項客觀性基準，因此該計劃要求專業人員對訪問或披露「可能會帶來嚴重危害」作出評估。澳大利亞律師事務所「Gilbert+Tobin」特別顧問梅麗莎·法伊在採訪中進一步指出，在實際評估工作當中，相關組織機構應將其中的「可能」解釋為「很可能」，而不僅僅是存在一定可能性。

隱私法本身並沒有明確界定「嚴重危害」的定義，但在數據泄露事件背景下，其可能指對目標個體的嚴重身體、心理、情緒、財務或聲譽損害。

與個人健康狀況相關的信息；常用於身份欺詐的各類文件，包括醫療卡、駕駛執照與護照信息；財務信息以及各種類型的個人信息（而非單一個人信息）組合，往往可能曝光更多個人情況並造成嚴重危害。

在評估嚴重危害風險時，各職能實體應考慮數據泄露後可能引發的各種潛在後果。

通報流程

懷疑可能發生符合標準要求的數據泄露事件的組織及機構，必須根據上述指導方針進行「合理且快速的評估」，從而確定數據泄露是否可能對受影響的個人造成嚴重危害。

如果某一職能實體擁有合理理由以認定存在符合標準要求的數據泄露行為，則必須及時將相關嚴重危害風險通報給相關人員及信息專員。披露相關數據泄露情況的組織機構必須填寫《數據泄露事件通報》聲明。

在向受影響個人及信息專員進行通報時，報告當中必須包含以下信息：

組織機構的身份與聯繫人詳細信息；

數據泄露事件描述；

相關信息類型；

個人應對數據泄露事件時應採取的建議性步驟。

受影響個人應在數據泄露事件被發現後的30天內得到通知，在此期間，相關職能實體可以自行開展違規行為調查。數據泄露事件通報計劃還為職能實體提供機會以及時採取措施應對數據泄露事件，從而避免發布進一步通報，例如向個人通報數據泄露事件。

數據泄露事件未進行披露的情況

若未能遵守數據泄露事件通報計划進行披露，則將被視為「干擾個人隱私」的行為，並引發相關後果。

Gilbert+Tobin的法伊解釋稱，若組織機構被發現隱瞞符合通報標準的數據泄露事件，或者被發現沒有報告符合標準的數據泄露事件，則將被視為存在個人隱私數據泄露並對個人隱私產生嚴重或反覆干擾的行為，並將因此面對隱私法所制定的民事處罰條款。

如果組織機構未進行通報的數據泄露事件相當嚴重，或者該組織未能在兩個或更多不同場合對符合標準要求的數據泄露事件進行通報，則信息專員辦公室有權根據民事處罰要求對其處以最高210萬澳元（約合人民幣1050萬元）的罰款，具體數額取決於數據泄露可能導致之後果的嚴重性與潛在危害。

組織也必須考慮到自身品牌聲譽受損並導致商業損害的風險，特別是考慮到消費者對於組織機構數據管理政策及流程的信任度正愈發重要這一歷史背景，能夠快速、高效且全面地對數據泄露事件作出響應將決定業務的最終命運。2017年Equifax公司因數據泄露事件遭遇的影響及作出的響應方式就是最典型的例子。

信息委員會與信息專員辦公室的職能作用

信息專員在數據泄露事件通報計劃當中扮演多種角色，包括接收符合標準的數據泄露事件通知; 鼓勵各方遵守此計劃，包括處理投訴及進行調查，並針對違規事件採取其它監管行動; 向監管機構提供意見及指導，並向社會人士介紹此項計劃的運作情況等等。

信息專員辦公室已經發布了關於此項計劃的指導性方針，其中包含違規後果處理的具體說明信息。

為什麼要對數據泄露事件進行通報？

澳大利亞聯邦政府曾於2017年2月第三次嘗試通過數據泄露事件通報法。2015年2月，澳大利亞聯邦議會情報與安全委員會曾就數據泄露事件通報計劃提出建議，此後澳大利亞開始實施強制性數據保留法。

怎樣建設通報程序基礎？

根據 Gilbert+Tobin 方面的說法，企業至少應該了解自身所掌握的數據、保存位置以及哪些人員有權訪問這些數據。評估現有數據隱私與安全策略及程序，從而確保組織能夠在發生數據泄露事件時適當而迅速地做出響應。

法伊在採訪中表示，相關工作中應包括制定一項數據泄露響應計劃，確保組織機構內各相關方切實開展合作，並迅速將合適的人員引入響應流程——包括來自IT、網路安全、公共關係、管理以及人力資源等部門的成員。此外，各組織機構還應不斷審計並加強網路安全戰略、保護措施與工具，從而預防數據泄露事件的發生。

法伊認為，組織成員對數據泄露事件通報計劃的了解也非常重要，因此人員應接受適當培訓，包括確定何時會發生符合標準要求的數據泄露事件，以及如何遵循職能實體內的政策與程序以確定後續處理方案。而安全事件響應工作還應進一步延伸至代表職能機構處理個人信息的其它供應商與第三方合作夥伴處。

考慮是否有國際業務覆蓋歐洲地區

未遵守法規要求的組織機構可能被處於最高2000萬歐元的行政罰款，或接受相當於上財年全球年度總營業額4%的罰款，以二者中較高者為準。

然而，法律要求並不許可權於歐盟區域之內，包括澳大利亞在內的世界其它國家也同樣受到影響。如果其業務延伸至歐盟範圍之內，包括在歐盟提供產品與服務，或者需要追蹤歐盟民眾的活動數據，則同樣需要接受上述GDPR法規的監管。

通用數據保護條例與澳大利亞隱私法中包含一系列共通性要求，但二者間也存在一些差異，其中一大關鍵性因素在於數據泄露事件的披露時間。

根據數據泄露事件通報計劃，澳大利亞各組織機構最多有30天時間公布數據泄露事件；而根據通用數據保護條例，機構需要在發現事件後的72小時內向主管部門通報，除非能夠證明個人數據泄露不會對自然人的權利與自由造成風險。

法伊強調稱，「總如果澳大利亞的某一組織機構受到GDPR《通用數據保護條例》的約束，則其必須同時遵守兩項法案所提出的義務。儘管這兩項制度存在不同的要求，但彼此之間並不互斥。不過對於數據泄露事件而言，歐盟方面的法案在要求上更為嚴格。」

事件通報程序如何真正落地？

任何曾從供應商手中購買安全解決方案的組織都很清楚，要全面保護組織機構並非易事。

賽門鐵克公司澳大利亞、紐西蘭與日本分部CTO尼克·賽維德斯在採訪中表示，「在處理數據泄露事件時，每位客戶都希望能夠利用單一產品、流程或者標準來實現徹底預防。」

實際上，數據泄露事件並非總能得到有效預防，多數情況下僅僅可以得到緩解。數據泄露事件有可能源自網路入侵、惡意內部人士威脅，甚至是善意內部人員造成的意外流出，這一切都擁有對應的緩解措施。

賽維德斯將緩解措施分為三個部分：

其一，處理惡意攻擊者；

其二，實現以信息為中心的安全性（適用於全部情況）；

其三，緩解性質的響應計劃。

賽維德斯表示，大多數組織並不具備有效的應對計劃以處理數據泄露事件。組織機構可能已經制定有計劃，但就目前來看，這些計劃往往太過學術化、理論化且缺少可行性，甚至通常會忽略事件本身。

組織需要建立報告事件流程，明確哪些人員需要參與其中，遵循怎樣的處理方法，同時提供明確的公關信息。用戶明顯更重視透明度與清晰的說明，而對某些組織提供的模稜兩可的官樣文章拒絕買賬。

皮爾格瑞姆則補充稱，「此項計劃的啟動也將成為各類機構及時收集其所持有的個人信息，並重新思考如何加以管理的重要機會。通過確保個人信息得到妥善保護與管理，企業將能夠搶先一步降低發生數據泄露事件的可能性。」

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/274743523.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！