GDPR 下,个人数据泄露一旦被“知悉”,控制者须在72小时内向监管机构上报,否则可能直接违反 GDPR Article 33。据跨国律所 DLA Piper 的报告,2020年1月至2021年1月,仅欧盟地区平均每天就有331份数据泄露通报,Facebook、LinkedIn 等头部厂商都在其中。72小时听起来宽裕,但问题归因、复现测试、公关、准备上报材料同时压来时,时限其实相当紧张。
TL;DR
数据泄露一旦发生且处置不当,负面影响是全方位的。一方面是巨额罚款乃至高层的刑事风险:万豪酒店因用户数据泄露于2020年被英国信息专员办公室(ICO)罚款1840万英镑;Uber 因2016年隐瞒一起泄露事故被旧案重查,前首席安全官一度面临监禁。另一方面是信任受损,对在线教育这类对信任敏感的行业尤其致命。此类金钱与信誉的双重代价,也是摩根士丹利 650 万美元数据泄露和解与生鲜平台 Weee! 泄露110万用户数据反复印证的教训。
面对疑似泄露,先按三步走判断是否要上报监管:
三问答案都为“是”,就需要上报。判断流程可参考下图:

GDPR Article 33 以“知悉”(be aware)作为72小时起点。WP29 指南指出,当控制者对导致泄露的安全事故已有“足够确定”(a reasonable degree of certainty)时,即视为“知悉”。举例:网络犯罪分子入侵后联系控制者索取赎金,此时证据尚不充分,不算知悉;待控制者检查系统、确认已被攻击并发生泄露,才算知悉、开始计时。
两点值得强调:起始小时向上取整,13:52 发现则14:00起算第一个小时;计时一旦开始便不中断,周末、假期或系统故障都不停表。
选择监管机构有两条思路:一是上报受影响数据主体所在国,涉及多国则各国都要报;二是上报企业在欧盟的主要经营场所所在国,涉及多国时更省力。
上报方式上,多数欧盟监管机构官网提供在线表格,按项填写即可,部分国家仍保留邮件或纸质信件渠道。
上报内容上,GDPR Article 33.3 要求至少包括:泄露性质(涉及的数据主体与记录的种类、大概数量)、数据保护官或联系人的名称与联系方式、泄露的可能后果、控制者已采取或拟采取的补救措施。填写开放性描述时,建议按时间轴还原事件,参照“5W”(Who/When/Where/Why/What result)交代清楚,向监管传达积极调查与控制的诚意。
若72小时内无法查清全部信息,应先就已知信息上报以满足时限,剩余细节后续补交。欧盟监管鼓励企业与其沟通:若最终确认并非泄露,可提交证明材料申请撤回上报。相反,若因未查清而选择不报、监管却认定应报,企业可能直接承担违反 GDPR 的后果。
数据泄露处于数据安全与隐私保护的交叉地带,一旦证实,秒表就开始倒计时。企业若无应急预案,等泄露发生后才临时调人、边学边做,打击往往是全方位的。可行的准备包括:事先明确上报判断标准与责任人、备好各监管机构的上报渠道、演练时间轴还原与材料填写。需要提醒的是,与欧盟不同,美国的数据泄露响应要求由各州分别规定,跨境企业需按目标州逐一核对。关于泄露后监管处罚的后续义务,可延伸阅读GDPR 执法新趋势。