在当今数字化时代，个人数据安全已成为全球关注的焦点话题。从斯诺登事件到Facebook数据泄露，从Equifax被黑到英国航空公司和万豪国际的巨额罚款，数据安全事件不仅频繁发生，而且规模越来越大，影响越来越深远。本文将深入探讨个人数据安全在GDPR框架下的重要性、法律要求及实际操作指南。

从纯粹的立法意义上看，可能很难论证欧洲数据保护的某些原则比其他原则更重要。然而，如果采取更广阔的视角，很明显一个重要性的层级已经出现。在数据保护领域，安全原则无疑是“一线明星”，是真正的VIP。

数据安全的特殊地位源于多个因素：

首先，安全状态通常是实现遵守其他数据保护原则的先决条件。不安全可能导致个人数据非法跨境流动；可能导致个人数据更改和不准确；可能导致数据扩散；当然，还可能给作为安全漏洞受害者的个人带来痛苦以及更实质性的伤害，如身份盗窃和金钱损失。

换句话说，缺乏安全不仅本身就是严重的“合规”失败，还可能导致整个GDPR立法框架大规模、严重的违规和非法行为。安全原则与其他所有数据保护原则相互交织并构成其一部分的观点现已得到广泛理解。

其次，严重的不安全案件会吸引新闻和媒体关注，最严重的案件还会引起国际关注。关于影响个人数据的安全漏洞的高调“坏消息”无情地涌现，没有丝毫减弱的迹象。GDPR的个人数据泄露通知制度进一步放大了新闻报道的风险。

最后，与其他违反数据保护原则的行为相比，涉及安全控制不力的案件在规模和危害方面表现出非常不同的特征。不安全同时具有规模和危害的潜力——在无休止的坏消息洪流中，有许多案件影响到数千万甚至上亿人。

1.1 安全原则的法律基础

GDPR第5(1)(f)条确立了安全原则，规定个人数据应“以确保个人数据适当安全性的方式进行处理，包括使用适当的技术或组织措施（‘完整性和保密性’）防止未经授权或非法的处理以及意外丢失、破坏或损害”。

第32条扩展了第5(1)(f)条，阐述了安全原则的实际要求：采取适当的技术和组织措施，以确保与普遍安全风险水平相称的安全水平。

值得注意的是，第5(1)条侧重于个人数据的处理，而不是谁执行处理活动。相比之下，第32条既针对控制者也针对处理者。

1.2 基于风险的方法

第32条要求采用基于风险的方法来评估哪些是或不是适当的控制措施。换句话说，要求控制者和处理者在做出有关控制措施的决定时进行风险评估。第25条和第35条强化了风险评估的要求，这些条款在正确解释时，必须扩展到安全问题。

这些风险评估必须反思待处理数据的性质以及将利用业务流程和技术系统漏洞的合理可预见威胁。据推测，更高概率或更高影响的威胁将意味着组织需要采用更严格和更复杂的控制措施，尤其是在处理敏感数据时。相反，不太敏感的个人数据可能需要更少或不太复杂的控制措施。

风险评估还包括一项“技术水平测试”和考虑成本的要求。技术水平测试要求控制者和处理者考虑行业最佳实践，而不仅仅是行业平均实践。如果一群合理知情的安全专业人员认为在特定情况下某种特定控制措施是适当的，那么控制者/处理者在决定是否在其环境中应用它时应考虑该共识。

2.1 三个安全领域

第32条涵盖三个安全领域：

1. 预防性安全：控制者和处理者应采取行动以限制不安全的风险。

2. 事件检测与响应：安全漏洞会发生，因此控制者和处理者需要检测可能的安全故障并做出适当响应。漏洞通知属于此领域。

3. 补救性安全：针对安全风险和事件，控制者和处理者需要采取措施改进安全性。

安全义务理应包括适用风险的连续统，从连续统一端的事故和疏忽到另一端的故意和恶意行为。因此，要求控制者和处理者实施控制措施，以防范复杂的技术威胁（如恶意软件和拒绝服务攻击）以及其他犯罪威胁，同时也要防范疏忽的员工。

2.2 加密与假名化

第32(1)(a)条将加密与假名化一起确定为控制者和处理者在设计其安全系统时必须考虑的控制措施。加密作为明确控制措施融入GDPR反映了对行业可接受安全措施日益增长的认识。

在GDPR通过许多年前，对包含个人数据的笔记本电脑和类似设备进行加密在大多数司法管辖区被认为是事实上的强制性监管要求，尽管《数据保护指令》对此保持沉默。控制者和处理者采用加密，并非因为有明确的法律要求这样做，而是因为在安全意义上，这样做是正确的。

2.3 员工管理与内部威胁

第32(4)条涉及在控制者或处理者授权下行动的员工和其他工作人员的活动。在安全方面，员工和其他工作人员构成的风险通常被称为“内部威胁”。

控制者和处理者都应制定稳健的政策，提醒员工处理个人数据的责任，为他们提供基于角色的定期培训，并明确违反政策的后果。为了给第32(4)条的要求赋予操作效果，需要对员工进行合理形式的监控，但雇主应小心不要越界实施无正当理由的工作场所隐私侵犯。

3.1 个人数据泄露的定义

第4(12)条提供了“个人数据泄露”的定义，即“导致传输、存储或以其他方式处理的个人数据遭到意外或非法破坏、丢失、更改、未经授权的披露或访问的安全漏洞”。

值得注意的是，第4(12)条的措辞意味着个人数据泄露需要由实际的安全漏洞组成，并且该漏洞实际导致了所述负面后果之一。安全漏洞的风险不在该定义范围内。

3.2 通知监管机构的要求

第33条规定了向数据保护监管机构通知个人数据泄露的要求。触发通知要求的是个人数据泄露事件的检测，即通知监管机构的义务在控制者意识到泄露后产生。控制者必须毫不拖延地通知，且不得超过72小时限制。

为了在短时间内完成检测、分类和通知，控制者需要制定事件响应策略，如事件响应计划、事件响应手册、创建事件响应团队以及操作事件检测团队（如安全运营中心SOC）。

3.3 告知数据主体的要求

第34条要求控制者将个人数据泄露告知数据主体，如果这些泄露可能对个人的权利和自由造成高风险。因此，第34条内部存在一个严重性阈值，这将其与第33条区分开来。

第34(3)条规定了此规则的例外情况，包括：已采取措施使个人数据无法被理解（如加密）；控制者已采取步骤防止高风险具体化；泄露披露会涉及不成比例的努力。

第28条包含了关于控制者-处理者关系和供应链的具体规定。它关注控制者和处理者之间关系的整体以及所有数据保护原则，而不仅仅是安全。

第28(1)条的意图是将安全原则和安全要求流入处理者的组织，并通过供应链流入子处理者。为此，第28条使用了一种手段，即将控制者对处理者的使用限制于那些能够为实施适当的技术和组织措施以符合GDPR和保护数据主体权利提供“充分保证”的处理者。

这种“充分保证”的想法远不止于创建合同，但合同的使用是一个关键的控制机制。它真正关注的是获取处理者能力的证明。为了有意义且真正有效，充分保证的想法必须包含保证机制，如检查、第三方评估或提供和验证认证。

个人数据安全在GDPR时代已经获得了前所未有的重要性。通过将操作控制失败引起监管机构和公众的注意，GDPR为监管执法和赔偿索赔提供了证据基础。

GDPR的一个未来可能是为不安全案件创建一条经济处罚和赔偿索赔生产线，如ICO 2020年对英国航空公司和万豪国际采取的行动，当时分别因安全漏洞处以2000万英镑和1840万英镑的罚款。

对于组织而言，投资于强大的安全措施不再是一种选择，而是一种必然。通过采用基于风险的方法、实施适当的技术和组织措施、建立有效的事件响应计划，以及确保供应链中的安全合规，组织不仅可以满足GDPR的要求，还可以在日益复杂的数字环境中保护自己和客户免受日益增长的网络威胁。

在个人数据安全方面，预防胜于治疗——这一古老格言在数字时代比以往任何时候都更加正确。

阅读扩展推荐>>