课程思政 信息安全与数据法规 2.2.2相关国际法律法规——澳大利亚-数据泄露通报制度.pptx

澳洲，你的隐私信息安全吗？——《数据泄露通报制度》正式落地 据悉，2017年隐私权修正（数据泄露通报）法案（Notifiable Data Breach）于2月22日正式生效。按照法律规定，营业额超过300万的澳大利亚企业必须就任何可能对居民造成严重影响的数据泄露事件上报给澳大利亚信息专员办公室（OAIC）。数据泄露瞒而不报截至目前，包括澳大利亚在内的全球约90个国家已经出台了信息安全相关法律法规，而其严格程度、执行方式以及处罚力度亦各不相同。目前，澳大利亚大多数数据泄露事件仍然未被及时发现与报告。一些企业在及时如实报告数据泄露这件事上并不值得信任。根据彭博社去年11月份的报道，共享打车平台优步（Uber）就隐瞒了发生在2016年10月的数据泄露事件。此次事件涉及5,700万用户的个人信息泄露，并且Uber曾私下里支付给了黑客10万美元。事实上，数据泄露存在更为广泛的潜在影响。根据调研企业Forcepoint发布的研究报告，澳交所上市企业、政府部门和大型非政府组织中超过90％曾经在2016年遭遇过数据被窃的事情。无独有偶，会计师事务所PWC表示，2015年澳大利亚企业数据安全性事件发生率增长了109%，远远超过全球38%的平均水平。《数据泄露通报制度》本次生效法案是指澳大利亚的2017年隐私权修正（数据泄露通报）法案，标志着信息安全立法的一大里程碑。任何企业或实体，只要发生符合以下条件的数据泄露事件，发生单位应立即上报给OAIC。即：未经授权访问或披露可能用于伤害个人的隐私信息；和存在未经授权访问或泄露信息的风险（信息已经丢失且存在用于损害个人的风险立法是管理手段而非技术措施业务准则与法律之间存在着微妙的平衡。立法行为只是为敦促组织机构积极提升自身的监控与检测能力，尽可能避免重大安全违规及数据失窃、操纵及/或销毁事故，或者在遭遇这些事故之后能够有能力迅速应对。立法行为不应该被理解成防止安全违规或者改进早期检测与响应能力的有效措施。可以肯定的是针对企业数据泄露事故报告立法已经发出了一项清晰而迅速的全球性指示信息——澳大利亚企业已经开始落实对公共及私有关键性基础设施进行保护的具体措施。就安全违规事件报告程序的立法要求能够带来一项核心收益，即推动企业以更为紧迫的态度在违规事故发生期间及之后报告关键性数据。这些数据将可用于实施主动网络防御技术、战术。