《一般数据保护条例》、《支付服务指令修正案》、《网络与信息系统安全指令》及《电子身份识别和受信服务条例》规定的数据和安全事件报告

-回复 -浏览
楼主 2020-03-31 03:25:11
举报 只看此人 收藏本贴 楼主



近期各司法管辖区内有关企业向监管机构(以及在特定情况下向受影响的个人)报告数据和安全漏洞及其他运营事件的各项最新要求表明:监管机关对网络安全和数据保护的重视。本简报将介绍最新监管要求并重点提示不同法规之间的异同。


概览

2018年上半年,一些企业将需要遵守欧盟《一般数据保护条例》(GDPR)、《支付服务指令II》(PSD2)及《网络与信息系统安全指令》(NISD)项下的三项新的事件报告制度。


《电子身份识别和受信服务条例》(eIDAS条例)下适用于受信服务提供商(泛指生成、验证、核实或保存电子签名、电子印章、电子时间戳、电子注册交付服务、相关证书或网站证书的企业)的类似事件报告制度已于2016年7月生效。


上述制度尽管有着共同的主题(反映了当前监管机关对数据保护、网络安全和运营适应能力的重视),但不同法规在细节上的差异对企业而言也十分关键,因为监管范围涵盖的企业需要尽量确保自身已落实每项制度的相关要求。特别是,每项法规的报告触发因素不尽相同,企业可能需要在不同的时间范围内采用不同的报告模板向不同的监管机构提交报告。


本简报首先简要介绍上述事件报告制度的基本情况,随后将重点提示各制度间一些关键相似点和不同点。


关键事项

·  GDPR、PSD2、NISD和 eIDAS条例引入了事件报告制度

·  上述条例之间在向监管机关通知数据泄露、安全或运营事件方面存在共同之处

·  每项条例在触发通知要求的时间、通知对象及提供哪些信息方面都有自己的标准

·  在有些情况下,企业还必须通知受影响的用户或个人,甚至向公众通报有关情况

·  通知的限定时间可能很短,特别是PSD2要求必须在4小时内提交初始报告

·  相关具体要求载于每项条例的相关指南中


GDPR规定的个人数据泄露报告制度

基于GDPR,数据控制者(决定个人数据处理目的及方法的组织)必须(i) 在“获悉”个人数据泄露事件后72小时内向监管机构报告有关事件,及(ii) 在无不当延误的前提下向数据主体通报个人数据泄露事件。


数据处理者(即代表数据控制者的客户处理个人数据的第三方服务提供商)必须在“获悉”个人数据泄露事件后在无不当延误的前提下通知控制者。通知监管机构的法律责任则继续由控制者承担。


个人数据泄露本质上属于影响个人数据的安全事件。经修订的个人数据泄露报告指南列举了遵守GDPR的实用行动和示例。


GDPR具有域外效力。如运营商未在欧盟设立运营场所但向欧盟境内个人提供商品或服务或监测欧盟个人行为,该运营商必须在欧盟指定一名代表并向该代表所处欧盟成员国的监管机关报告个人数据泄露事件。


PSD2规定的重大事件报告

基于PSD2,支付服务提供商(PSP)须在获悉“重大运营或安全事件”后4小时内通知其本国主管机构,并在分析根本原因后提供中期更新报告和最终报告。若该事件可能影响支付服务用户(PSU)的经济利益,则PSP必须在无不当延误的前提下向PSU报告该事件及所采取的补救措施。


在起草关于上述要求的指南时,欧洲银行业管理局(EBA)承认已存在其他事件报告框架,但EBA解释称,由于其职权仅限于PSD2,其无法协调不同制度项下通知标准、模板和程序的差异。尽管如此,EBA介绍其已尝试将PSD2指南与单一监管机制(SSM)网络安全事件报告框架相衔接,欧洲央行于2016年将该事件报告框架作为试点计划实施,并于2017年推广至其他大型机构。


NISD规定的强制性事件报告

基于NISD,OES(提供对维护重要社会或经济活动至关重要的服务(如银行、能源、交通和医疗部门的服务)的提供商)和DSP(电子商务、搜索引擎及云服务的提供商)必须在无不当延误的前提下向其主管机构或主管计算机安全事件响应小组(CSIRT)报告对所提供服务具有重大或实质影响的任何事件。


主管机构或CSIRT将通知受上述事件将重大或实质影响的其他欧盟成员国。


各国实施NISD的最后期限是2018年5月9日。NISD作为最基本的具有协调性质的指令,其给予成员国在执行其要求方面较大自由裁量权。截至本简报发布之日,已采取措施实施NISD的司法管辖区包括:


· 意大利:政府根据议会的意见颁布了立法法令草案。在国家网络和信息系统安全战略尚未通过之际,NIS主管部门负责主管运营商业务,并可对违规行为最高处罚120,000欧元(对于违反主管部门对运营商特别指令的行为,最高处罚150,000欧元),重复违规时,罚款金额可增至三倍。


· 英国:英国实施NISD的最终法规至今仍未出台,但英国政府已于2017年8月就NISD实施办法开始征询意见,并于2018年1月底公布了政府对收到意见的答复。值得一提的是,英国提议各领域的指定主管机关在2018年5月之前公布相关事件报告门槛,并拟定主管机关能够对违反NISD要求的行为处以最高达1,700万英镑的罚款。


· 法国:法国NISD实施法律已于2018年2月27日公布,且其生效日将不晚于2018年5月10日。但是,OES将于2018年11月9日前由法国总理指定。根据该法,如OES或DSP不履行其向法国国家信息系统安全管理局(ANSSI)报告对提供服务产生重大影响(或对OES而言,指可能对提供服务产生重大影响)的严重安全漏洞的义务,其管理人员可能面临最高75,000欧元的罚款(就OES而言);或50,000欧元的罚款(就DSP而言)。


需要注意的是,法国NISD实施法律将与现行关于关键基础设施信息保护的法国军事计划法(CIIP法,2013年12月出台)共存。CIIP法涵盖了类似的主题,但仅适用于“极其重要”的运营商(OVI)。根据CIIP法,OVIs必须向ANSSI通知所有影响某信息系统运行或安全的事件。OVIs的执行经理可能会因违规被处以高达150,000欧元的刑事罚款,并且OVIs作为法人自身可能被处以高达750,000欧元的罚款。


eIDAS条例规定的安全事件报告

基于eIDAS条例,无论合格或不合格的受信服务提供商(TSP)必须在获悉对其提供的受信服务或保存的个人数据产生重大影响的安全漏洞或信息完整性损害事件后,在无不当延误的前提下(无论如何应在24小时内)报告其监管机构。


TSP还应在适当情况下通知诸如数据保护机关的其他监管机关。如安全漏洞可能会对接受受信服务的自然人或法人产生不利影响,TSP还应在无不当延误的前提下向他们通知有关漏洞。


各法规监管要求一览表


GDPR

PSD2

NISD

eIDAS条例

义务承担方

数据控制者(由数据处理方通知控制方)

支付服务提供商

基础服务运营商/

DSPs

受信服务提供商(与根据eIDAS条例通知的电子身份识别计划有关)

通知义务触发因素

导致意外或非法破坏、丢失、更改、未经授权披露或访问个人数据的安全漏洞

符合一项“较高影响”或三项“较低影响”标准的主要运营或安全事件

对基础服务的持续性或对电子商务、搜索引擎及云服务的提供有着重大或实质性影响的事件

对所提供受信服务或其保存的个人数据产生重大影响的任何安全漏洞或信息完整性损害事件

首次通知时限

自数据控制者获悉数据泄露事件后72小时内(数据处理方必须在其获悉泄露事件后在无不当延误的前提下通知控制者)

在首次发现后4小时内

无任何不当延误

在获悉事件后24小时内

是否需要通知监管机构?

是,要求数据控制者通知GDPR下的本国主管监管机关

是,要求通知PSP的本国主管机关

是,要求通知NIS下的本国主管机关或CSIRT

是,要求通知TSP的监管机关及其他机构(如适用)

是否需要通知受影响客户/个人?

是,条件是个人数据泄露很可能给自然人的权利和自由引发高风险

是,条件是有关事件已经或可能给其支付服务用户的经济利益带来影响

否(尽管监管机关/CSIRT可告知公众)

是,条件是安全漏洞或信息完整性损害很可能给接受受信服务的自然人或法人带来不利影响

是否需要持续通知/更新?

否(尽管可分阶段提供信息)

否,至少每隔三天或有实时更新时提交中期报告;一旦完成根本原因分析后应提交最终报告

违规处罚

如未作出通知,处以最高1000万欧元或全球营业额的2%的罚款

成员国需对违反国家实施PSD2的法律的行为制定“有效、适度且有劝诫力的”惩罚措施

成员国需对违反国家实施NISD的法律的行为制定“有效、适度且有劝诫力的”惩罚措施

成员国需对违反国家实施eIDAS条例的法律的行为制定“有效、适度且有劝诫力的”惩罚措施


生效日期

2018年5月25日

2018年1月13日 (在成员国实行)

2018年5月9日 (在成员国实行)

2016年7月1日


不同制度项下监管要求比较

识别事件和数据泄露:受保护对象和事件维度

在确定是否触发任何通知要求时,企业必须首先考虑发生的事件是否属于GDPR、PSD2、NISD或eIDAS条例规定的一个或多个报告制度的管辖范围内。


EBA关于PSD2项下重大事件报告的指南将“运营或安全事件”定义为“已经或可能对支付相关服务的完整性、可用性、保密性、真实性和/或连续性产生不利影响的”计划外的事件或一系列相关事件。


上述指南同时介绍了可能受到事件影响的这五个维度中每一维度的含义。前四项(完整性、可用性、机密性和真实性)乃属于国际标准,其在ENISA的指南中也被称为“NISD要求数字服务必须保证的4项属性或保护目标”


根据GDPR数据泄露通知指南,个人数据泄露可能属于(1)“保密性违规”(指未经授权或意外披露个人数据或未经授权访问此类数据);(2)“完整性违规”(指未经授权或意外更改个人数据);或(3)“可用性违规”(指在意外或未经授权的情况下无法访问个人数据,或意外或未经授权销毁此类数据)。


虽然NISD下的通知要求不适用于受eIDAS条例监管的TSP,但NISD指南指出NISD可能在保密性违规方面与GDPR通知要求存在相同之处,并特别指出DSP可能必须根据NISD和GDPR的要求对同一事件进行报告。NISD指南例举了2011年的Dropbox漏洞,当时由于代码更新使密码验证程序的暂停运行,Dropbox漏洞在几小时内允许用户可仅凭用户名登录平台。


评估事件或漏洞的重大程度

PSD2只要求报告“重大”运营或安全事件。EBA指南列明了PSP评估事件重大程度时应考虑的各种准则和影响标准,并规定事件在达到一项较高水平的标准或三项较低水平的标准时应被划分为“重大”事件。


与此类似,根据NISD条例和eIDAS条例,只有当事件对基础服务的连续性(或对DSP而言,电子商务、搜索引擎和云服务的提供)或所提供的受信服务或该等服务所维护的个人数据产生“重大影响”(或对DSP而言,“实质影响”)时才需要报告有关事件。此外,ENISA针对NISD和eIDAS条例制定了有关指南,介绍企业应如何评估事件是否具有重大影响。


上述条例项下的评估尽管有若干共同之处,例如评估应考虑受影响用户的数量和事件持续时间,但每项制度均各自要求按照相关指南下的不同准则和标准开展符合要求的多项评估。


GDPR没有引入“重大性标准”,但要求通知所有个人数据泄露事件,除非泄露事件“并不太可能给自然人的权利和自由带来风险”(工作组关于个人数据泄露通知的指南第29条)。


此外,GDPR要求在“个人数据泄露可能给自然人的权利和自由带来高风险”(工作组关于个人数据泄露通知的指南第29条)时向相关个人提供相关信息。但在已采取适当组织措施以抵销风险或通知个人不符合比例原则的情况下(在这种情况下,需要通知公众或采取类似措施)时,上述要求不适用。


通知主管机关

根据EBA指南(根据PSD制定),PSP需要在获悉重大运营或安全事件后4小时内提交初步通知,并在分析事件根本原因后提供中期更新报告和最终报告。该时限大大短于eIDAS条例和GDPR分别规定的24小时和72小时通知时限。NISD要求较为宽松,其要求基础服务运营商“在无不当延误的前提下”通知主管机关或CSIRT。


此外,虽然GDPR明确规定在事件发生初期不可能提供所有要求的信息时数据控制者可以分阶段提供信息,但只有PSD2规定了包括中期报告和最终报告的正式后续通知要求。一般而言,作为任何事件调查的组成部分,主管机关有权要求进一步提供的信息。


上述制度还确定了接收报告的不同主管机关,相关指南相应规定了不同的报告模板和报告信息。


通知受影响的用户、个人或公众

GDPR、PSD2和eIDAS条例还要求企业在有些情况下向受影响的用户或个人通知有关事件。一般而言,各规定虽然对发出通知的时间点有各自的标准,但当事件已经或可能影响相关用户或个人时必须发出该等通知。GDPR通常仅监管自然人的个人数据,但GDPR和eIDAS条例项下通知用户要求也可能适用于因有关事件或漏洞受到影响的法人。


NISD并未要求DSP向受影响的用户或个人通知有关事件,但出于预防事件发生或应对先前事件而有必要让公众知情的情形下,主管机关或CSIRT可在和基础服务运营商协商后向公众通报有关个人事件。


与此类似,监管机关应在其认为符合公众利益的情况下根据eIDAS条例向公众通报有关事件(或要求TSP通知)。


词汇表

CSIRT – 计算机安全事件响应小组(computer security incident response team)

DSP – 数字服务提供商(digital service provider)

EBA – 欧洲银行业管理局(the European Banking Authority)

ECB – 欧洲中央银行(the European Central Bank)

eIDAS条例 – 《电子身份识别和受信服务条例》(910/2014)(the Regulation on electronic identification and trust services)

ENISA – 欧盟网络与信息安全局(the European Union Agency for Network and Information Security)

GDPR – 《一般数据保护条例》(2016/679)(the General Data Protection Regulation)

NISD – 《网络与信息系统安全指令》(2016/1148)(the Network and Information Security Directive)

OES – 基础服务运营商(operator of essential services)

PSD2 –《支付服务指令II》(2015/2366)(the recast Payment Services Directive)

PSP – 支付服务提供商(payment service provider)

PSU – 支付服务用户(payment service user)

SSM – 单一监管机制(the Single Supervisory Mechanism)

TSP – 受信服务提供商(trust service provider)


联系人

符国成

联席管理合伙人

王彦峰

联席管理合伙人

葛凯利

Kelly Gregory

合伙人

马云

合伙人

张宏

资深顾问律师

刘天峰

高级律师


关注高伟绅律师事务所


微信号:cliffordchance

官网:www.cliffordchance.com

长按二维码扫描关注

以上内容基于我们作为国际法律顾问代表客户参与其在中国的经营活动的经验,不应视为法律意见。和其他所有在中国开业的国际律师事务所一样,我们可提供有关中国法律环境影响的信息,但我们不能以本地律师事务所的身份从事中国的法律事务。如您需要本地律师事务所的服务,我们将很乐意推荐。高伟绅律师事务所为本文的版权所有人,其中所提供的信息仅供本所客户读用。如需转载,请注明本文‎为本所的著作。本文仅供一般参考,其内容不一定论及各相关重要课题,也不一定涵盖论题的各个方面。本文并非为提供法律意见或其他咨询意见而编写,对于依赖本文的行动后果,本所概不负责。如欲进一步了解有关课题,欢迎联系本所。     


www.cliffordchance.com

中国北京朝阳区建国门外大街1号国贸大厦1座3326室

中国上海静安区石门一路288号兴业太古汇香港兴业中心二座25楼

© Clifford  Chance 2018

Clifford  Chance LLP 是在英格兰与威尔士注册的有限责任合伙,注册编号OC323571。

注册办事处地址:10  Upper Bank Street, London, E14 5JJ

文中采用“合伙人”字眼表示Clifford  Chance LLP的成员,或者具有同等地位和资格的雇员或顾问。

Abu Dhabi • Amsterdam • Bangkok • Barcelona • Beijing • Brussels •  Bucharest • Casablanca • Dubai • Düsseldorf • Frankfurt • Hong Kong • Istanbul  • London • Luxembourg • Madrid • Milan • Moscow • Munich • New York • Paris •  Perth • Prague • Rome • São Paulo • Seoul • Shanghai • Singapore • Sydney •  Tokyo • Warsaw • Washington,D.C.

Clifford Chance has a co-operation agreement with Abuhimed Alsheikh  Alhagbani Law Firm in Riyadh.

Clifford Chance has a best friends relationship with Redcliffe Partners  in Ukraine.

我要推荐
转发到