Loading…
个人数据泄露会启动一个监管计时器,它不会因周末、节假日或高管是否在岗而停止。根据GDPR第33条,您有自知悉起72小时向监管机构发出通知。DPDPA规则7、PDPA第26B条以及LGPD第15/2024号决议设定了类似的时限。
本行动手册将72小时分为五个命名阶段——检测、遏制、评估、记录、提交——并在每个关口设定具体的交付成果。请将其作为操作手册使用:当事态紧急时,您不希望临时编写流程。您希望的是执行它。
第33条规定「不得迟于知悉后72小时」。知悉是指控制者已有合理程度的确定性认为发生了安全事件且涉及个人数据。它不是:
EDPB关于个人数据泄露通知的9/2022号指南允许有一段短暂的调查期以达到知悉,但该期间应当短暂——以小时计,而非以天计。
目标:确认已发生事件,保全取证证据,启动响应团队。
T+6小时交付成果:一页式事件摘要——发生了什么、何时发生、涉及哪些系统、可能涉及哪些数据类别、有哪些已知的未知项。
目标:止血,隔离受影响系统,并通知对时间敏感的外部各方。
T+24小时交付成果:遏制确认;初步范围声明。
目标:确定规模和可能的损害——这将驱动后续每一项决策。
T+48小时交付成果:损害风险评估;通知决策矩阵;填写好的通知模板草稿。
目标:构建您将提交的文件,锁定内部记录,向利益相关方简报。
T+72小时交付成果:可供提交的通知;完整的内部记录。
目标:在法定时限内通知监管机构,并在需要时向数据主体进行沟通。
T+72小时之后交付成果:提交确认函;已发出数据主体沟通(或已记录不沟通的决定);已安排在14天内进行事件后复盘。
| 监管机构 | 法定时限 | 门槛 |
|---|---|---|
| 欧盟监管机构(GDPR) | 自知悉起72小时(第33条) | 除非不太可能对权利和自由造成风险 |
| ICO(UK GDPR) | 自知悉起72小时 | 相同的基于风险的门槛 |
| CPPA / 加州总检察长(CCPA) | 「尽可能最快的时间」(Cal. Civ. Code §1798.82) | 影响超过500名加州居民即触发总检察长通知 |
| 印度数据保护委员会(DPDPA) | 不得延误;具体规定见规则7 | 所有个人数据泄露 |
| CERT-In(印度2022年IT法案指令) | 自察觉起6小时 | 指定的事件类别(勒索软件、DDOS、网页篡改等) |
| PDPC(新加坡PDPA) | 评估确认为应通知的泄露后72小时 | 重大损害或500人及以上 |
| ANPD(巴西LGPD) | 自确认起3个工作日(Res. 15/2024) | 对数据主体的风险或相关损害 |
| PPC(日本APPI) | 不得延误(通常以天计,而非以周计) | 敏感数据泄露、财务损失、恶意意图,或1000条及以上记录 |
最常见的组织失误是DPO与总法律顾问之间对实际监管机构提交的归属不清。应提前理清——大多数团队默认由DPO在法律顾问特免权下起草,并由DPO作为提交文件中的指定联络人。
当对权利和自由存在高风险时,GDPR第34条触发对数据主体的沟通。其标准高于监管机构通知门槛。需要通知的示例:
第34条第(3)款列出了直接沟通的三项豁免:使数据对未授权人员不可读的加密、消除高风险的措施,或可由公开沟通替代的不成比例的努力。
通知内容(第34条第(2)款):泄露的性质、DPO的姓名和联系方式、可能的后果、已采取的措施。须使用平实语言。
不会。第33条以小时计算,而非工作日。部分监管机构(LGPD、新加坡PDPA)以工作日界定期限;请核对具体制度。
第33条第(1)款允许延迟通知,但须"附具延迟的理由"。监管机构接受这种做法,但会严格审查。反复延迟将触发执法。
第33条第(2)款要求处理者"在不无故拖延的情况下"通知控制者。您的数据处理协议(DPA)很可能规定了更紧的期限(通常为24–48小时)。向监管机构通知是控制者的义务,但处理者必须为其提供足够的信息和时间,以满足72小时的截止期限。
对于任何重大事项,是的。外部法律顾问可对调查工作成果确立保密特权,并显著降低后续诉讼中的证据开示风险。这是廉价的保险。
每季度进行一次桌面推演,采用基于现实注入事件的情景,将时间压缩至90分钟以模拟72小时期限。捕捉每个阶段转换中的决策延迟。使用您在真实情况下会提交的同一套第33条第(3)款内容集。