数据泄露和通知方面的法律
1)导言和目标
数据泄露不仅是技术事件,而且是法律程序,对通知的内容有明确的时限,收件人和正式要求。凌晨的错误增加了罚款,集体诉讼和声誉损失的风险。该材料是B2C平台(包括iGaming/fintech)的实用路线图,可帮助同步操作:安全,律师,PR,客户支持和合规性。
2)什么被认为是"个人数据泄露"
个人安全事件,导致意外或非法破坏,丢失,更改,未公开访问或披露个人数据。对主体的权利和自由(隐私、经济损害、歧视、网络钓鱼等)的风险很重要。
3)角色和责任
主计长(操作员)-定义处理目的和手段;对通知、记录和选择法律依据负有主要责任。
处理器(处理器/承包商)-按指示处理数据;必须毫不拖延地通知主计长并协助调查和记录。
联合监督员-协调单一联系点,并在协议中分配责任区。
4)通知阈值: 三级风险
1.没有风险(例如,密码介质具有可靠的密钥,密钥没有受到损害)→记录事件,没有外部通知。
2.风险(有伤害的可能性)→在规定的时间内通知监管机构。
3.高风险(可能造成重大危害:金融,健康,儿童,大规模泄漏,弱势群体)→以易于理解的语言毫不拖延地进一步通知受试者。
5)通知时间(关键模式基准)
欧盟/EEA (GDPR):主计长在知道泄漏事件后72小时内通知监管机构;如果风险很高,则受试者"没有不当拖延"。
英国GDPR/ICO:类似于监管机构72小时;保存事件登记册。
加拿大(PIPEDA):监管机构和实体-尽快,如果"重大伤害的真正风险";至少保留24个月的登记册。
新加坡(PDPA):在PDPC中-尽快,不迟于评估完成后3天;受试者----不拖延地面临重大伤害的风险。
巴西(LGPD):监管机构和实体-"在合理的时间内";基准-确认后尽快。
阿联酋(fed。PDPL )/ADGM/DIFC:在大多数情况下,在高风险的72小时内通知监管机构。
澳大利亚(NDB):长达30天的评估;在确认"待通知"事件后,"尽快"发出通知。
美国(州法律):时限不同(通常"没有不合理的延迟",有时固定为30-60天)。数据数量和类型的阈值,在重大事件中通知检察长/机构。
印度(DPDP):向监管机构/实体发出通知-按照监管机构规定的程序;发现后迅速采取行动。
6)通知中应该包含的内容
监管机构:- 事件简介和时间表;
- 受影响数据和实体的类别和估计数量;
- 可能的影响;
- 已采取或拟议采取的措施(减轻、防止重复);
- DPO/负责小组的联系;
- 状态:标明后续补编的预发函件(如果不是所有事实都已确定)。
- 简单的语言和时间发生了什么;
- 哪些数据受到影响和可能的影响;
- 已经完成的工作(锁定、更换钥匙、强制轮换密码等);
- 用户可以做什么(2FA,密码更改,帐户/信用记录监控);
- 支持渠道、免费服务(如金融数据泄露时的信用监控)。
7)通知的有效延迟
在许多制度中,如果立即披露会干扰调查,则可以根据执法部门的要求推迟通知。以书面形式记录延期的依据和期限。
8)加密和"安全港"
如果数据已安全加密且密钥未受到损害,则许多法律免于通知受试者。记录算法/密钥管理;应用技术。事件登记册的理由。
9)响应程序: "前72小时"时段"
时 分。
激活IR计划;指定线索(SIRT,律师,PR,DPO)。
隔离攻击矢量,收集工件(日志、转储),固定系统时间。
初级资格:个人数据?哪些类别?体积?地理?承包商?
时 分。
风险评估:对权利和自由的影响;儿童/金融/健康。
解决方桉:监管机构通知?(如果是-我们准备"预发通知")。
Sapport的+FAQ对象通知草案;PR messedji。
承包商/处理器验证:查询报告、事件日志。
时 分。
向监管机构发送通知(如果需要);编写提交。
一组缓解措施的最终化(强制更改密码,键轮换,操作时间限制,2FA)。
准备公开声明(如适用),启动热线/机器人。
72小时后。
澄清后向监管机构提交补充报告;后太平间;更新策略和控制。
10)承包商和加工链管理
合同DPA/处理器职责:"立即通知"、24/7联系通道、SLA到主报告(例如24小时)。
主计长有权审计/审查保护措施。
对承包商的所有事件和采取的行动进行强制登记。
将承诺扩展到子处理器。
11)特殊类别和风险群体
儿童,健康,金融,生物识别,证书-几乎总是高风险→优先通知受试者。
联合泄漏(PII+信条/令牌)→立即强制轮换和残障令牌。
地理特点:一些州/国家要求大规模通知信贷局/监察员。
12)通讯内容和形式
易懂的语言(B1),没有技术术语。
在可能的情况下个性化上诉;否则-公开公告和电子邮件/push组合。
频道:电子邮件+SMS/push(在关键情况下)+帐户上的横幅;对于大规模案件-公开帖子和FAQ。
不要在信件中包含类似网络钓鱼的链接;通过官方网站/应用程序提供路径。
13)记录记录和保存
事件日志:日期/时间,发现,分类,记录决定及其理由,通知文本,邮件列表,发送证据,监管机构响应,删除措施。
保留期-根据模式(例如PIPEDA-至少24个月;其他-3-6年的内部期限)。
14)制裁和责任
监管机构的罚款(在欧盟-在系统性违规或无视时机方面相当可观);
主体诉讼,改变安全做法的命令;
事件发生后的监测和报告义务。
15)类型错误
由于"完美主义"而造成的延迟:等待完整的画面而不是及时提前通知。
低估间接风险(电子邮件泄漏+FIO后网络钓鱼)。
团队之间缺乏一致性(律师/PR/安全/支持)。
无关的监管者联系人和"乡村矩阵"。
忽略处理器和子处理器的合同义务。
16)准备就绪清单(事件发生前)
1.批准具有24/7角色和频道的Incident Response Policy。
2.指定DPO/负责人和代理人与监管机构联系。
3.准备Country Matrix:时间表、收件人、阈值、表格。
4.现成的信件模板:监管机构,实体,媒体,札幌常见问题解答。
5.更新处理注册表、数据卡和处理器/子处理器列表。
6.每6至12个月进行一次桌上练习。
7.在DPA中包括:"X小时内通知",强制性主报告,日志审核。
8.启用静止和传输加密、密钥管理、秘密旋转。
9.建立数据访问异常监控和自动警报。
10.准备公关剧本和公开声明政策。
17)司法管辖区迷你矩阵(综合基准)
(矩阵是基准。应用前检查当前规范。)
18)文档模板(保存在存储库中)
Incident Response Policy + Runbook 72h
Data Breach Notification — Regulator (draft/preliminary/final)
Data Breach Notification — Individuals (e-mail/SMS/баннер/FAQ)
Press Statement & Q&A
Processor Breach报告表格(供承包商使用)
Lessons Learned / Post-mortem template
Country Matrix.xlsx(监管者联系人、时机、门槛)
19)结论
泄漏时"法律走廊"的成功通过是速度+文档+透明通信。该原则很简单:快速提前通知,向用户发出清晰的指示,与监管机构和承包商进行明确的协调,然后在调查过程中对细节进行挤压。在最关键的时刻,定期的演习和最新的模板集可以降低法律和声誉风险。