原文链接 ✌:https://www.dr-datenschutz.de/fehlendes-berechtigungskonzept-ist-das-ein-datenschutzvorfall/
在实践中,企业里IT 系统的访问权限配置不当并不罕见,有时甚至根本没有“权限管理机制”(Access Control Concept)。
权限管理机制的缺失会导致数据被无权访问,这显然违背了“知情必要性原则”(Need-to-Know principle)。
由此引发的问题是:在权限管理机制缺失导致数据被无权访问的情况下,是否构成 “数据泄露”,从而可能触发GDPR第33条的报告义务?
当然,是否触发向监管机构报告的义务还取决于风险评估的结果。本文仅仅讨论权限配置不当或缺失是否构成GDPR第4条Nr.12定义的“个人数据泄露”。
基于“Need-to-Know”原则的系统权限管理机制
权限管理机制指的是一套系统性的方法和规则,用来规定:谁(用户、角色、部门)在什么条件下可以访问哪些数据以及能执行哪些操作(读取、修改、删除、传输等)。
其核心是确保只有真正需要的人员,才能访问与其工作相关的数据或系统功能,防止未经授权的访问、滥用。这就是“知情必要性原则” (Need-to-Know- principle)。
权限管理机制缺失可能导致个人数据被未经授权访问。这毫无疑问违反了 GDPR 的基本原则,尤其涉及第5条第1款(f)、第6条第1款和第32条(数据处理的安全性)的要求。
然而,是否仅因缺乏权限管理机制抑或权限配置不当,导致无权访问,就已构成GDPR第4(12)条意义上的 “个人数据泄露” 呢?这个问题在学界和实践中仍存在争议。
GDPR 对“个人数据泄露”的定义
GDPR 第4条(12)将“个人数据泄露”定义为:
“personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;”
“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问”
EDPB在其指南中将“数据泄露”分为三个类型(types of personal data breaches):
保密性违反:未经授权或无意的数据披露/访问
完整性违反:未经授权或无意的数据篡改
可用性违反:数据丢失或无法访问
这与GDPR第32条的规定一致。
数据泄露属于 “安全事件”
并非每项行为或不作为都会自动构成GDPR第 4 (12)条所定义的 ”个人数据泄露“ 事件。关键要看,该事件是否构成对个人数据的“安全性违规”("breach of security" ;有些文章又称之为“安全事件” security incident)。
也就是说,“数据泄露事件” 是 breach of security 的一种形式。
EDPB在其9/2022指南中解释了“安全事件”与“个人数据泄露”之间的区别是:
“This highlights the difference between a security incident and a personal data breach – in essence, whilst all personal data breaches are security incidents, not all security incidents are necessarily personal data breaches.”
安全事件与个人数据泄露之间的区别很明显:基本上,个人数据泄露事件都属于安全事件,而安全事件不一定属于个人数据泄露事件。(EDPB Guidelines 9/2022第 8 页)
区分二者的关键在于,安全事件是否涉及个人数据。
所有违反保密性的事件都属于“数据泄露”吗?
部分观点认为,任何违反保密性的行为(“Confidentiality breach” )都构成安全事件(安全性的违反,"breach of security") 。毕竟EDPB将违反保密性归为数据泄露的三种形式之一。
根据这种观点,一旦涉及对个人数据的保密性、完整性和可用性这三个保护目标中的任何一项的侵犯都应被视为数据泄露事件;这已经意味着数据主体的权利因此受到损害。
因此,若缺乏权限管理机制,即意味着数据的保密性受到损害,从而落入第4条(12)条的定义范围。
数据泄露 = 违反行为 + 损害结果
然而,大部分观点认为,数据泄露事件需同时满足两个要素:违反行为和损害结果。
违反行为:控制者或第三方的作为或不作为;
损害结果:导致未经授权的披露、篡改或数据丢失。
保密性、完整性和可用性违反通常被视为“损害结果”。
但是,GDPR本身并未定义违反行为,这导致在实践中有不同的解释。
5.1 组织措施的缺失也可构成“违反行为”
德国部分监管机构及部分文献认为,违反 GDPR 第32条关于安全性的规定就属于“违反行为”。
GDPR第32条要求企业采取适当技术与组织措施(technical and organisational measures, TOMs),以便保证和风险相称的安全水平。如果控制者没有落实恰当的组织性措施,就构成“安全性违规”("breach of security" 。
权限管理机制正是典型的“组织措施”:缺乏权限配置政策意味着企业未能落实保护个人数据的技术与组织措施(TOMs)。
“数据安全包括所有组织和技术(非法律)规定和措施,这些规定和措施旨在防止对个人数据的不当处理,并维护数据及其处理所用技术设备的完整性和可用性。” (Kühling/Buchner/Jandt,2024 年第 4 版,《通用数据保护条例》第 4 条第 12 款第 5 行)
“侵权行为可能表现为:控制者从一开始就未采取适当的技术和组织措施来保护个人数据的机密性。”(Kühling/Buchner/Jandt,2024 年第 4 版,《通用数据保护条例》第 4 条第 12 款第 6 行)
GDPR注释德语原文:
„Datensicherheit umfasst die Gesamtheit aller organisatorischen und technischen (nicht rechtlichen) Regelungen und Maßnahmen, mit denen ein unzulässiger Umgang mit personenbezogenen Daten verhindert und die Integrität sowie Verfügbarkeit der Daten und der zu deren Verarbeitung eingesetzten technischen Einrichtungen erhalten wird.“ (Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO Art. 4 Nr. 12 Rn. 5)
„Die Verletzungshandlung kann z.B. darin liegen, dass der Verantwortliche von vorneherein keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit personenbezogener Daten ergreift.“ (Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO Art. 4 Nr. 12 Rn. 6)
巴伐利亚数据监管机构(BayLfD)也持同样观点,其在指南中明确指出,若控制者未能实施必要的组织性措施,可构成“违反行为”:
“控制者未能采取GDPR第 32 条所要求的措施——尤其是将组织标准纳入相应规定。
[…]
导致此类侵权行为的典型侵权行为 […] ,同样的情况也适用于访问权限的不当规划或管理。对于侵权行为,第三方是否知悉未经授权披露的数据并不重要。证明存在这种可能性就足够了。”
德语原文:
„Der Verantwortliche versäumt es, die nach Art. 32 DSGVO erforderlichen Maßnahmen – insbesondere eine Implementierung organisatorischer Standards in entsprechenden Vorgaben – zu treffen.
[…]
Ein typisches Verletzungsverhalten, das zu diesem Verletzungserfolg führt […] Gleiches gilt für eine nicht ordnungsgemäße Planung oder Verwaltung von Zugriffsberechtigungen. Für den Verletzungserfolg ist es nicht erforderlich, dass Dritte von den unbefugt offengelegten Daten Kenntnis nehmen. Der Nachweis, dass diese Möglichkeit bestand, ist ausreichend.“
(Orientierungshilfe BayLfD, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, S. 15)
5.2 安全性违反是对已有的安全性措施的突破
另一种观点认为,只有违反控制者规定的保护措施,例如员工的错误或第三方的攻击,才属于安全违规行为。
为此,必须存在违反现有规定的、与安全相关的过失行为(作为或不作为)。此外,这还要求已经建立了技术保护措施。
如果企业一开始就没有权限管理机制或类似保护措施,则不存在“已经存在的保护措施被违反“这一说,这是一种法律违反(未履行第32条义务),而非“安全性违反” (breach of security)。
“breach of security在概念上已经预先假定存在适当的保护措施,这就是为什么原则上控制者/处理者的技术和组织安全措施(第 32 条)失灵必须是违反保护的原因”
(参见 Spindler/Schuster,《电子媒体法》2019 年第 4 版,GDPR 第 4 条定义,第 27 行)。
法条注释德语原文:
„Die „Verletzung des Schutzes“ setzt bereits begrifflich das Bestehen entsprechender Schutzmaßnahmen voraus, weswegen grundsätzlich ein Versagen der technischen und organisatorischen Sicherheitsmaßnahmen (Art. 32) des Verantwortlichen/Auftragsverarbeiters ursächlich für die Verletzung sein muss.“
(vgl. Spindler/Schuster, Recht der elektronischen Medien 4. Auflage 2019, DS-GVO Art. 4 Begriffsbestimmungen, Rn. 27).
“法律违反”或“安全性违反”?还是两者竞合?
非法数据处理(如违反目的限制或透明性原则)是否等同于安全性违反,文献和实践中对于这一问题尚无统一的定论。
部分文献认为,控制者主动且有意进行的非法处理(如超出告知范围处理数据)不属于“安全性违反”:
“控制者有目的地进行的不当处理,例如无视目的限定或透明度规则,不属于该定义所指的违规行为。”
(参见 Ehmann/Selmayr,《数据保护基本条例》2024 年第三版,第 4 条,第63行)。
法条注释德语原文:
„Unzulässige Verarbeitungen, die der Verantwortliche gezielt durchführt, etwa durch Missachtung von Zweckbestimmungs- oder Transparenzregeln, gelten nicht als Verletzungen im Sinne dieser Begriffsbestimmung.“
(vgl. Ehmann/Selmayr, Datenschutz-Grundverordnung 3. Auflage 2024, Art. 4, Rn. 63).
另一方面,也有观点认为,如果控制者或处理者对个人数据进行非法处理,就已经违反了处理的安全性:
“如果控制者或处理者对个人数据的处理不符合GDPR第 5 条第 1 款 a 项的规定(“合法性、诚信处理、透明度”),则已构成处理安全违规行为。”
(Kühling/Buchner/Jandt,2024 年第 4 版,《通用数据保护条例》第 4 条第 12 款第 6 行)
法条注释德语原文:
„Eine Verletzung der Sicherheit der Verarbeitung liegt bereits vor, wenn durch Verantwortliche oder Auftragsverarbeiter eine nicht iSv Art. 5 Abs. 1 lit. a DS-GVO rechtmäßige Verarbeitung personenbezogener Daten erfolgt („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). “
(Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO Art. 4 Nr. 12 Rn. 6)
缺乏权限管理机制可面临高额罚款
总结一下:权限管理机制的缺失是否属于“数据泄露”,这个问题在理论层面和实务层面都尚无定论。
我个人比较倾向于第三种解释 —— 数据泄露需要有“违反行为”,即安全性违反;而这个行为是对控制者已设定的保护措施的违反。但在实务中,在没有别的监管机构发表意见之前,目前建议按照拜仁监管机构的意见处理。
无论如何,企业都应该制定清晰的权限管理政策,并严格实施并定期审查,避免组织性失误带来的违规风险。因为不管它是否属于数据泄露事件,缺乏权限管理机制本身就违反 GDPR 第5条第1款(f)与第32条,可能使企业面临高额罚款 —— 发生数据泄露而不报告反而是第83条罚得比较轻的那一级。
End
这几天在汉堡出差,我最喜欢的德国城市!