个人数据泄露：如何在72小时内应对

引言

当发生个人数据泄露事件时，时间至关重要。《通用数据保护条例》(GDPR) 要求在72小时内向主管机构通报。本指南将介绍基本步骤。

最初的24小时

第0-4小时：检测与控制

1. 确认事件 - 核实是否为真实泄露
2. 控制威胁 - 隔离受影响系统
3. 保存证据 - 不要删除日志
4. 启动响应团队 - 联系相关负责人

第4-12小时：初步评估

1. 识别受影响数据 - 涉及哪些类别？
2. 估算受影响主体数量 - 涉及多少人？
3. 评估风险 - 造成损害的可能性有多大？
4. 记录一切 - 创建按时间顺序的记录

第12-24小时：影响分析

1. 对泄露事件进行分类 - 低、中或高风险
2. 确定义务 - 是否需要通知CNPD（葡萄牙国家数据保护委员会）？数据主体？
3. 准备沟通材料 - 通知草稿
4. 咨询法律顾问 - 验证策略

24-48小时

通知CNPD

何时通知：

• 只要对权利和自由存在风险
• 如有疑问，应通知 通知内容：
• 泄露事件的性质
• 受影响主体的类别和数量
• 数据保护官 (DPO) 或负责联系人
• 可能的后果
• 已采取或拟采取的措施

向数据主体沟通

何时沟通：

• 如果对权利和自由存在高风险
• 使用清晰易懂的语言 内容：
• 发生了什么（无需过多技术细节）
• 哪些数据受到了影响
• 我们正在做什么
• 数据主体可以做什么
• 提问联系方式

48-72小时

最终文件归档

1. 完成事件记录
2. 存档证据
3. 准备内部报告
4. 识别经验教训

纠正措施

1. 修复漏洞
2. 更新程序
3. 加强培训
4. 审查供应商合同

72小时后

后续行动

• 监测持续影响
• 回应数据主体请求
• 如有必要，与CNPD合作
• 如有新进展，更新通知

未来预防

• 审查事件响应计划
• 进行安全测试
• 更新影响评估
• 考虑网络保险

结论

准备是最好的防御。在需要之前，请务必制定一份事件响应计划。