欧盟委员会准备实施新规,要求电信运营商和ISP在遭遇用户的个人数据丢失、被盗或者其他原因的个人信息泄露时,需按新法规采取相应措施。
采取这些“技术性干预措施”的目的是为了确保欧盟的所有用户在遇到信息泄露时有统一的解决办法,确保在欧盟多国经营的公司遇到类似问题时能在泛欧盟范围内采取统一的解决办法。2011年以来,根据一项普遍义务,企业需向国家主管部门和相关用户通报个人数据泄漏事件。有了这些新规则,这些公司将更加明确应该如何履行这一义务,用户获得的处理方式也能得到保障。新规则要求运营商和ISP在发现信息泄露的24小时内告知相关部门,以最大限度地控制泄露。如果不能在24小时内提供全部信息,则应该提供一系列原始信息,剩余信息应在3天内给出。这些公司还必须说明哪些信息可能受到影响、已经采取或者将会采取哪些应对措施。
在评估是否有必要通知用户时,运营商或者ISP应该注意以下类型信息的泄露,特别是电信领域、财务信息、定位数据、网络日志、网络浏览记录、电子邮件以及通话清单。除此以外,欧盟委员会还鼓励这些公司为个人信息加密。因此,委员会与欧洲网络与信息安全局(ENISA)将协力发布一份技术保护措施的指示性清单,例如加密技术,能使没有权限的人即使看到了这些数据也不知所云。如果某公司采用这样的加密技术,即使数据遭泄露也不必告知用户,因为用户信息并未真正泄露。
在2011年咨询公众意见后,委员会就开始实施这些规则,也得到了利益相关者对在该领域建立一个统一标准的广泛支持。这些规则是由欧盟委员会制订并由欧洲议会和理事会审议通过,采取欧盟委员会法规的形式以使此项法规不受各国的影响,直接发挥作用。这项法规将在欧盟官方公报上公布两个月后生效。
