在撰写本文时，买服务器云，距离《通用数据保护条例》（GDPR）于2018年5月25日生效只有190多天。如果把周末排除在外，那就只剩下130多天了。我已经写了很多Neil Patrick的文章，在这篇文章中，我想把重点放在数据泄露的话题上，因为GDPR的很多痛苦都来自于此，第29条数据保护工作组（WP29）上个月制定了一份数据泄露指南：17/EN 250"2016/679条例下的个人数据泄露通知指南"。

为什么重要？

GDPR罚款将来自违规行为：第83条规定，违反第5条要求的数据控制员可被处以最高可能的罚款。

第5.1（f）条处理个人数据，以确保控制员确保其处理方式防止"未经授权或非法处理和违反法律"意外丢失、破坏或损坏。

第32条对于数据处理器来说涉及处理安全，处理器是为了"确保与风险相适应的安全级别"，失败可能导致罚款高达第二级罚款。

因此，正确理解数据泄露，并通过"适当的技术和组织措施"来管理它们，很可能会停止或减少您的GDPR罚款。

个人数据泄露的类型

WP29定义了三种个人数据泄露类型：

数据泄露可以是上述一种或任意组合。

泄露的严重性需要根据具体情况进行评估以"对自然人权利和自由的风险"为准绳。不利影响是"物理、物质或非物质损害"，可能包括：

个人数据失去控制数据主体权利的限制歧视身份盗窃或欺诈财务损失未经授权撤销假名名誉损害失去受专业保密保护的个人资料的保密性任何其他重大经济或社会不利因素在发生物理或技术事故时，能够及时恢复个人数据的可用性和访问权限

因此，数据泄露不仅仅是将笔记本电脑或U盘留在火车上，或者有人入侵您的系统并窃取个人数据的明显案例。它们涉及的范围更广，也更微妙。

此外，监管机构有权在问责的背景下执行该法规，要求提供设计数据保护的证据，证明良好数据保护的证据是其业务和文化的基石。

一些示例

WP29指导文件还提供了一些令人着迷的数据泄露示例：

一组个人数据的唯一副本已被勒索软件加密，云服务平台，或已由控制器使用不再拥有或已丢失的密钥进行加密。由于电源故障或拒绝服务攻击导致个人数据暂时不可用，从而严重中断正常服务。如果风险很大（例如，无法获得有关患者的关键医疗数据，必须取消手术）。如果可以恢复鬼影图像和备份，从而减少停机时间，那么被勒索软件感染并导致媒体公司的临时停机很可能不是违规行为。但是，云服务器设备，如果同时访问个人数据，可能会给数据主体带来风险，并构成数据泄露。使用最先进的技术对个人数据进行安全加密，数据丢失或被盗，北京大数据公司有哪些，反加密密钥可以安全地使加密副本无效，并且有备份。第一种情况很可能不是违规行为，但是，如果恢复备份副本和恢复正常服务需要很长时间（几十小时），那么这仍然可能构成违规行为。在上述示例中，如果在稍后阶段发现反加密密钥或进程不安全，则第一种情况将成为数据泄露。在上面的示例中，如果没有数据备份并且无法恢复服务，则可能是数据泄露允许一个主体的个人数据可见/发送给另一个数据主体的流程中的系统性漏洞。

关于数据泄露和泄露通知的一些有用的注意事项：

报告最终证明不是数据泄露的事件不会受到处罚。如果个人数据已经公开，另一方披露相同数据不会对个人造成风险，也不会被视为数据泄露。并非所有数据泄露都需要通知监管机构或数据主体。例如，一个组织在CD上有一个安全加密的档案备份，它被偷走了，大淘客网站，GDPR也很可能会随着时间的推移而更新，并且已经有了其他与数据/安全相关的法规，如NIS和电子隐私指令。

如果组织将此视为一个机会，以解决文化思维方式的变化，向"增值"方式运行其业务，这将对他们自己大有裨益与合规性相对应的是"价值保留"方法。

我预计2018年将是组织正确理解数据保护方面巨大变化的一年，而不是我目前看到的快速解决方法——一些针对更明显的GDPR要求的狭义技术解决方法将不会奏效提供一个中期的，更不用说长期的解决方案。明智地投入宝贵的资源，收获收益。