网络安全 频道

确保数据安全 IT企业应受法律制约

  披露安全风险义务

  除了采取安全措施保护数据以履行法律义务以外,更多地你还需要披露安全漏洞,尤其是通知被受到影响的相关人员。法律要求,通知不仅要提供个人信息外泄安全警告,更要提供所应采取的补救措施。

  截至2008年8月,已经有44个国家和地区制定了风险预告法律规范。一些重要的法律条文可能因不同国家内容迥异,下面略举一二:

  ●所涉及的信息包括哪些类型?

  法律章程一般适用未加密的个人敏感信息——比如,信息中所包括的个人姓名,个人证件、电话号码,或者金融方面的信用卡、银行卡的帐户信息。而有些国家还包含更多方面的信息。

  ●什么原因促使披露成为义务?

  一般来说,法律会要求披露涉及以下信息的风险给个人:个人未经授权收集到的信息,信息的私密性和完整性,以及任何与个人息息相关的信息。在一些国家,除非有合理的根据,确定将会损害到个人或者组织利益,否则不允许擅自披露涉及私密的安全风险提示。

  ●必须通知给谁?

  通知的对象,必须是针对未加密的个人资料面临安全风险的居民个人。有些国家还需要通知给总检察长,还有些国家要求通知给有关信贷机构。

  ●通知的形式

  通知可以以书面形式(如书信或者邮寄形式)提供,也可以通过电子化形式(如电子邮件,但只能在少数情况下使用),或由媒体形式通知(比如出版社,各省报纸或公司网站)。在一些国家,只要涉及到未经批准的涵盖有私人资料的数据,都可以预先通知。而有些国家,这些未经授权的数据并不能成为通知的充分条件,而是需要可能出现伤害个人利益的额外条件,才能允许执行通知。

0
相关文章