Post by account_disabled on Apr 4, 2024 0:56:42 GMT -5
了解我们的互联世界
在
每天
创新与工作
人工智能
政治与法律
要知道
鉴于 GDPR 的目标,数据泄露通知义务的优点和缺点是什么?
2023 年 9 月 19 日
数据保护违规行为:GDPR 有什么帮助?
车手:Frederik Zuiderveen Borgesius和Hadi Asghari
想象一下,有一天早上醒来,发现您最喜欢的在线服务已成为黑客攻击的受害者。黑客监视公司的机密信息,包括您的姓名、地址和信用卡信息。这种场景说明了数据泄露的含义:恶意行为者未经授权访问或发布敏感信息。但如果发生此类安全漏洞,应该采取什么措施呢?根据《通用数据保护条例》(GDPR),组织(例如在线服务)必须通知相关数据保护监管机构,并在第二步中通知数据主体(例如您),如果数据泄露威胁到他们的权利,并且自由。但这一报告要求真的有助于保护个人数据并减轻数据泄露的潜在后果吗?在与我们的同事 Noël Bangma 和 Jaap-Henk Hoepman 共同撰写的一篇新学术文章中,我们结合了不同学科(法律、信息安全和经济学)的见解来回答以下问题:报告义务的优点和缺点是什么GDPR 中的数据泄露?在这篇博文中,我们总结了本文最重要的观点。
GDPR 和数据泄露
GDPR 中规定的报告数据泄露的义务可概括如下。第 33 条要求数据控制者向数据保护监管机构报告数据泄露事件,除非该泄露事件不太可能给个人带来风险。第 34 条要求数据 英国 Whatsapp 数据 控制者在数据泄露可能对数据主体的权利和自由造成高风险的情况下通知数据主体。简而言之:数据控制者是确定处理个人数据的目的和程序的组织;数据主体是个人数据被处理的人。违反数据保护可能会对受影响的人产生深远的影响,尤其是涉及敏感数据时。它可能导致财务损失、身份欺诈、声誉受损和其他隐私侵犯。
GDPR 数据泄露报告要求的六大目标
作为分析的一部分,我们确定了 GDPR 中数据泄露通知要求的六个论点,并针对每个论点检查了该要求是否有用。
1.人们可以保护自己
支持强制报告数据泄露的一个论点是,人们可以在报告后保护自己。例如,如果负责数据的组织共享了他们的密码,这样的要求可能会导致人们更改密码,或者在涉及信用卡泄露的安全漏洞后阻止他们的信用卡。
然而,有些个人信息很难更改。一个人的医疗记录可能包含敏感和高风险的数据,但如果他们的医疗信息泄露,人们无能为力。此外,许多人不具备保护自己免受身份欺诈和其他风险的技术知识。总之,虽然数据泄露通知在某些情况下可以帮助保护您自己,但我们不应该过于乐观地例外。
2.人们可以选择或转向竞争服务。
从理论上讲,公开披露的数据泄露可能会鼓励客户转向其他竞争性在线服务。但实际上,这种说法在很多情况下并不成立。如果例如例如,如果您的雇主或大学受到数据泄露的影响,您不能简单地跳槽到另一份工作或大学。切换到许多在线服务也很困难,特别是如果服务的有用性取决于其他用户的数量。在许多情况下,人们很难或烦人地进行转换。
对于大多数人来说,另一个挑战是很难评估另一个负责数据的组织是否提供更好的安全性。各种在线服务的安全实践通常存在信息不对称。尽管我们提出批评,但报告要求对于那些愿意并且能够在数据泄露后转向另一家公司的消费者来说可能很有用。
3. 激励组织提高安全性
报告要求可能会鼓励数据控制者关注更好的数据安全,因为报告的数据泄露会产生负面宣传。在加利福尼亚州通过了世界上第一部数据泄露通知法后,Murcian-Goroff在该州发现了更好的安全实践。在欧洲,随着 GDPR 的通过,各组织似乎也开始更加认真地对待数据安全。然而,很难区分 GDPR 的一般影响和数据泄露通知要求的影响。