内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

还在让错误的数据影响你的生活吗永利澳门娱乐402登录

金沙澳门官网图库数据泄露事件通报”中的这些问题眼熟么?

2018-02-06 16:22 出处:新葡京平台官方网站 人气:   评论(0

  制定的“数据泄露事件通报(NDB)”计划将于2018年2月22日正式生效。这一政策的出台将给的企业与个人带来怎样的影响?反映出组织机构在安全程序上存在那些缺陷?

  制定的“数据泄露事件通报(NDB)”计划将于2018年2月22日正式生效。这一政策的出台将给的企业与个人带来怎样的影响?反映出组织机构在安全程序上存在那些缺陷?

  由于立法方希望借“数据泄露事件通报(NDB)”计划对个人加以,因此当NDB正式生效时各类组织机构都需要在自身持有的数据方面承担更多责任。

  “数据泄露事件通报(NDB)”计划归属于《1988年隐私法》中的第IIIC部分,其中了对各职能实体在应对数据泄露事件方面的具体要求。这意味着隐私法案所涵盖的所有机构及组织在发现相关事件后,将必须快速发布通报以披露可能导致个人信息遭受“严重损害”的数据泄露问题。个人税号(TFN)接收人也应在TFN信息涉及数据泄露的情况下,遵循数据泄露事件通报的指导要求。

  根据此项计划,除通报受影响的个人之外,相关组织机构还必须向相关者提供应对性举措/,包括后续处理其自有信息的办法。各项数据泄露通报也必须递交至信息专员蒂莫西皮尔格瑞姆手中。

  皮尔格瑞姆在采访当中解释称,NDB计划正式确立了业界对于数据泄露事件透明度的期望。通报将为个人提供信息与,帮助其采取措施个人信息,同时尽可能减少其遭受危害的风险。

  年营业额低于300万澳元(约合人民币1540万元)的情报机构、非营利性组织或小型企业、信用报告机构、卫生服务供应商以及政党都不会受到数据泄露事件通报计划的约束。

  一般而言,所谓数据泄露是指个人信息未经授权的访问、丢失或披露,且此类信息可能会对相关个人造成严重危害。数据泄露的具体实例包括:包含客户个人信息的设备丢失或盗窃、包含个人信息的数据库遭到黑客入侵,个人信息被错误提供给不当对象。若无任何理由就浏览客户记录的员工可能构成数据泄露事件,因为其并无访问相关信息的明确授权。

  联邦局(AFP)、警备部队或国家及领土相关服务机构、犯罪委员会以及证券与投资委员会等执法机构不需要向个人通报符合标准要求的数据泄露事件,但前提要求相关首席执行官有合理理由认定通报个人有可能损害执法机构或执法机构代表进行与执法相关的活动。尽管并非所有数据泄露事件皆须进行通报,但AFP发言人在采访当中表示,AFP将对一切符合该项法案要求且不属于豁免范畴的情况执行必要的通报义务。

  根据2012年《健康记录和信息隐私权法》第75条,其中涵盖的数据泄露事件不需要根据“数据泄露事件通报(NDB)”进行通报,因为其设立有自己的约束流程,且同样接受信息专员办公室的管理。

  由于数据泄露事件通报计划当中出一项客观性基准,因此该计划要求专业人员对访问或披露“可能会带来严重危害”作出评估。“Gilbert + Tobin”特别顾问梅丽莎法伊在采访中进一步指出,在实际评估工作当中,相关组织机构应将其中的“可能”解释为“很可能”,而不仅仅是存在一定可能性。

  隐私法本身并没有明确界定“严重危害”的定义,但在数据泄露事件背景下,其可能指对目标个体的严重身体、心理、情绪、财务或声誉损害。

  与个人健康状况相关的信息;常用于身份欺诈的各类文件,包括医疗卡、驾驶执照与护照信息;财务信息以及各种类型的个人信息(而非单一个人信息)组合,往往可能更多个人情况并造成严重危害。

  怀疑可能发生符合标准要求的数据泄露事件的组织及机构,必须根据上述指导方针进行“合理且快速的评估”,从而确定数据泄露是否可能对受影响的个人造成严重危害。

  如果某一职能实体拥有合理理由以认定存在符合标准要求的数据泄露行为,则必须及时将相关严重危害风险通报给相关人员及信息专员。披露相关数据泄露情况的组织机构必须填写《数据泄露事件通报》声明。

  受影响个人应在数据泄露事件被发现后的30天内得到通知,在此期间,相关职能实体可以自行开展违规行为调查。数据泄露事件通报计划还为职能实体提供机会以及时采取措施应对数据泄露事件,从而避免发布进一步通报,例如向个人通据泄露事件。

  Gilbert+Tobin的法伊解释称,若组织机构被发现隐瞒符合通报标准的数据泄露事件,或者被发现没有报告符合标准的数据泄露事件,则将被视为存在个人隐私数据泄露并对个人隐私产生严重或反复干扰的行为,并将因此面对隐私法所制定的民事处罚条款。

  如果组织机构未进行通报的数据泄露事件相当严重,或者该组织未能在两个或更多不同场合对符合标准要求的数据泄露事件进行通报,则信息专员办公室有权根据民事处罚要求对其处以最高210万澳元(约合人民币1050万元)的罚款,具体数额取决于数据泄露可能导致之后果的严重性与潜在危害。

  组织也必须考虑到自身品牌声誉受损并导致商业损害的风险,特别是考虑到消费者对于组织机构数据管理政策及流程的信任度正愈发重要这一历史背景,能够快速、高效且全面地对数据泄露事件作出响应将决定业务的最终命运。中的这些问题眼熟么?2017年Equix公司因数据泄露事件的影响及作出的响应方式就是最典型的例子。

  信息专员在数据泄露事件通报计划当中扮演多种角色,包括接收符合标准的数据泄露事件通知; 鼓励各方遵守此计划,包括处理投诉及进行调查,并针对违规事件采取其它监管行动; 向监管机构提供意见及指导,并向社会人士介绍此项计划的运作情况等等。

  曾于2017年2月第三次尝试通过数据泄露事件通报法。2015年2月,联邦议会情报与安全委员会曾就数据泄露事件通报计划提出,此后开始实施强制性数据保留法。

  根据 Gilbert+Tobin 方面的说法,企业至少应该了解自身所掌握的数据、保存以及哪些人员有权访问这些数据。评估现有数据隐私与安全策略及程序,从而确保组织能够在发生数据泄露事件时适当而迅速地做出响应。

  法伊在采访中表示,相关工作中应包括制定一项数据泄露响应计划,确保组织机构内各相关方切实开展合作,并迅速将合适的人员引入响应流程包括来自IT、网络安全、公共关系、数据泄露事件通报”管理以及人力资源等部门的。此外,各组织机构还应不断审计并加强网络安全战略、措施与工具,从而预防数据泄露事件的发生。

  法伊认为,组织对数据泄露事件通报计划的了解也非常重要,因此人员应接受适当培训,包括确定何时会发生符合标准要求的数据泄露事件,以及如何遵循职能实体内的政策与程序以确定后续处理方案。而安全事件响应工作还应进一步延伸至代表职能机构处理个人信息的其它供应商与第三方合作伙伴处。

  欧盟《通用数据条例》(简称PR)将于2018年5月25日正式生效,全球各持有欧盟地区个人用户数据的组织机构都必须提高自身水平,且明确数据的具体存储。

  未遵守法规要求的组织机构可能被处于最高2000万欧元的行政罚款,或接受相当于上财年全球年度总营业额4%的罚款,以二者中较高者为准。

  然。

分享给小伙伴们:
本文标签: 错误数据

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表

    Copyright © 2015-2017 新葡京平台官方网站 版权所有 网站地图