这篇文章是由撰写 丹尼尔·卡达尔(Daniel Kadar).

5月28日,法国CNIL发布了有关数据违规的新实用指南。作为实施电信套餐的一部分,新的第34条之二已添加到法国数据保护法中,该套餐要求电子通信提供商(ECP)进行通知“without delay”法国CNIL的任何数据泄露。

此类ECP是在法国电信管理局(ARCEP)中注册的所有电信运营商,因此 包括在法国运营的所有国际/外国电子通信提供商.

1. CNIL列出了需要立即通知的详细主题情况,包括:

  • 入侵ECP的客户端数据库
  • 在线ECP精品店中的安全漏洞,允许访问客户的信用卡号
  • 向不相关的第三方分发机密的客户电子邮件
  • 一家电信运营商在一家精品店的代理人丢失了合同副本文件的硬拷贝

该指南还提到了不需要此类通知的情况:

  • 入侵ECP’s own HR database
  • 与与向公众提供电子通信服务无关的活动有关的任何违规行为

2.该指南概述了发生数据泄露事件时应遵循的程序:向CNIL发出的通知必须提供有关数据泄露事件的性质和后果的完整信息;详细说明已针对该违规行为实施和/或计划采取的措施;确定在内部负责解决问题的要联系的人;并估算该违规所涉及的数据所有者的数量。

3.另一个关键问题是公开和/或客户信息。该指南表明,CNIL有两个月的时间对ECP做出反应’通知并就是否应通知受影响的客户提供指导。

如果该违规行为是大规模的,并且被CNIL认为是重要的,那么法国数据保护局可能需要立即向受影响的客户提供信息。

如果CNIL不需要此类即时信息,则在CNIL审核ECP之后可能需要客户信息’的通知。仅当法国数据保护局认为为解决数据泄露问题而采取的措施足够时,ECP才会免于通知客户。但是,如果在两个月的时间内没有CNIL的答复,则需要向客户提供信息。

4.法国数据保护法的这一新增内容具有广泛的影响:适用于 在法国运营的所有ECP 并且一旦位于法国的一位客户受到数据泄露的影响,就可以被认为是可执行的。

这可能会迫使ECP在任何情况下,除其他监管机构之外,主动向法国监管机构发出通知。 CNIL重申,对未通知数据违规行为的制裁包括最高罚款。€30万,最长五年’监禁,同时不遵守法国法规本身可处以最高不超过75澳元的罚款。€300,000.