GDPR第5（1）（f）条确立了安全原则，即处理个人数据应“以确保个人数据安全的方式进行处理，包括使用适当的技术或组织措施，防止未经授权的访问或非法处理，以及防止个人数据的意外丢失、破坏或损坏”。GDPR第32条对第5（1）（f） 条进行了扩展，规定了安全原则实际需要什么，即采取适当的技术和组织措施，以确保有适当的数据安全水平以应对主要安全风险，该条文的要求直接针对数据控制人和数据处理人。

数据控制人和数据处理人都有义务证明他们应用了适当的安全性措施。GDPR第5（2）条与第24条一起，要求数据控制人能够证明其以合规的方式履行实施安全措施的义务。GDPR第28（3）（h）条对数据处理人提出了类似于数据控制人的证明要求。作为对数据处理人的附加检查，第28条要求数据控制人通过使用合同或其他法律行为将合规义务落实到数据处理人。为了实现这些合规目标，数据控制人和数据处理人需要了解他们的数据处理操作的范围。GDPR第30（1）条要求数据控制人在其职责范围内保存处理活动的记录，其中应包括“第32（1）条所述的技术和组织安全措施的总结性说明”。GDPR第30（2）条则对数据处理人规定了类似的义务。

GDPR第32条规定了安全的基本原则，这一原则与第33条和第34条的个人数据泄露告知义务相对应。此外，GDPR在第25条中规定了设计数据保护和默认数据保护要求，以及在第35条和第36条中规定了数据保护影响评估和事先咨询要求。

GDPR第32条规定了保护个人数据安全的义务，它同时适用于数据控制人和数据处理人。以下是第32条涵盖的三个安全域，它们分别是：

① 预防性安全措施；

② 安全事件检测和响应措施；

③ 补救措施。

如图8-1所示。

数据控制人和数据处理人需要实施控制措施，以抵御复杂的技术威胁，如恶意软件、拒绝服务攻击和其他犯罪威胁，以及防范因员工的疏忽而造成的数据安全威胁。第32条中的用语“适当”表示GDPR不要求组织对数据提供绝对的安全保障，换句话说，数据控制人或数据处理人有可能在不违反法律的情况下出现数据安全漏洞，从而为组织应对监管机构的执法提供一种辩护策略。但数据合规从业人员不能仅仅依据 GDPR 的法律要求设计合规措施，因为欧盟成员国很有可能通过立法创立其他更严格的数据安全法律责任。例如，在英国最近的一个案例 Morrison Supermarkets Plc v. Various Claimants中，“替代责任”(vicarious liability）的原则为组织创造了一种绝对的个人数据安全注意义务，组织不能因为对内部人员作恶行为的不知情而免受数据保护法律的处罚。

GDPR第32条要求采用基于风险的方法来评估哪些是或不是适当的数据安全风险控制，换句话说，数据控制人和数据处理人需要进行风险评估。风险评估必须考虑要处理的数据的性质，以及合理预见的可能利用业务流程和技术系统漏洞的数据安全威胁。一般而言，更高的概率或更大影响的威胁将意味着组织需要采用更严格、更复杂的风险控制，尤其是在处理敏感数据时。风险评估还包括对当前前沿技术所带来数据安全风险的评估和消除这些风险需要付出成本的考量。这一评估要求数据控制人和数据处理人考虑当前行业最佳数据安全实践，而不仅仅是行业平均水平。为了确保安全性，数据控制人和数据处理人需要参考数据安全行业前沿专家的共识性意见。专家共识性意见得到市场广泛采纳的一个例子是加密在数据行业中越发广泛的应用。随着加密要求在实践中的不断发展，GDPR第32（1）（a）条确定加密技术和假名化是数据控制人和数据处理人在设计其安全系统时必须考虑的一种风险控制方式。

当然，不是所有的组织都能落实全面的安全控制措施，如果实施安全控制措施的成本过高，那么即便数据安全性受到威胁，法律也不要求组织实施这些成本过分高昂的控制措施，但组织应当就其成本核算和数据安全风险之间的平衡性进行评估，并记录这一评估过程以实现合规目的。

GDPR第32（4）条涉及员工和其他工作人员在数据控制人或数据处理人的授权下进行的活动。所有通过为数据控制人和数据处理人工作而获得个人数据的人，都相当于负有一种保密义务。第32（4）条的实质是这些有可能接触到个人数据的人必须在他们受到的工作指示范围内行动。例如，他们不得通过未经授权向第三方披露的方式滥用个人数据为自己谋利或为他人谋利。

在数据安全方面，员工和其他工作人员带来的风险常被称为“内部威胁”。数据控制人和数据处理人应该制定强有力的内部控制政策，提醒员工他们在处理个人数据时的法律责任，为他们提供基于工作角色的定期培训，并明确违反政策规定的后果。为了实现数据安全，员工受到一些主动性的监督是合理的，但他们的雇主应注意不要构成工作场所的隐私侵犯行为。关于雇员在工作场所的隐私保护详见第十二章。

GDPR第28条包含了数据控制人与数据处理人之间关系的规定。GDPR第28（1）条的目的是将安全原则和相关安全要求引入数据处理人的组织，并引入到二级分包数据处理人的组织。为了实现这一立法目标，GDPR第28条限制数据控制人将数据处理工作委托给第三方数据处理人，除非该数据处理人能够提供“充分安全保证”，并实施适当的技术和组织措施以遵守 GDPR 并保护数据主体权利。

“充分安全保证”不仅仅意味着双方要在合同中详尽地规定数据保护义务，还意味着数据控制人应当对数据处理人的组织和技术能力作充分的评估，比如按照GDPR第28（3）（h）的规定进行审计。如果数据控制人无法就数据处理人的数据安全能力进行证明，它必须放弃与该数据处理人合作，否则即自动违反第28条之规定。

根据GDPR第28（10）条，数据处理人只能依照数据控制人的指示进行数据处理。如果数据处理人的数据处理行为超过了数据控制人设定好的边界，则其有很大可能将被定义为数据控制人并承担数据控制人的义务。另外，根据GDPR28（3）（f）条之规定，数据处理人还应当积极帮助数据控制人实现合规目标并降低数据安全风险，包括向数据主体告知任何数据安全事故。因此，数据控制人必须与数据处理人紧密合作。

GDPR第33条要求数据控制人在某些情况下就数据安全事故通知数据合规监管机构，第34条要求数据控制人将数据安全事故告知受到影响的数据主体。这两条的规定体现了GDPR的透明性原则，通过及时的告知避免或降低损失。

GDPR第4（12）条将“数据安全事故”定义为“违反数据安全义务导致意外或非法破坏、丢失、更改，未经授权披露、访问、传输、存储或以其他非法方式处理个人数据”。第4（12）条的措辞意味着，数据安全事故需要包含一个实际的安全漏洞，并且实际上导致了上述负面结果。换句话说，单纯因为安全漏洞导致的风险并不意味着数据安全事故，这让其与寻求防范风险的安全原则相区别。

GDPR第33条规定了向数据合规监管机构通报数据安全事故的要求，并要求保存数据泄露记录和记录组织所采取的补救行动。通知义务的触发因素是组织发现了个人数据泄露事件，在此意义上，如果数据控制人不知道发生了数据安全事故，则无法触发向监管机构报告的要求。但这不意味着只要数据控制人自己不去监测数据安全事故就永远不会触发报告义务，数据控制人应该能够识别数据安全事故，并将其作为数据处理过程的一部分。因此，采取数据泄露检测措施是必要的法律义务。

一旦检测到疑似数据泄露，数据控制人需要确定该事故是否符合个人数据安全事故的定义，如果符合，需要进一步确定该事故是否可能对个人权利和自由造成风险。数据控制人必须非常迅速地完成这一评估，因为数据控制人需要在发现数据安全事故的72小时内作出通知而不能有不适当的延迟。根据GDPR的要求，当数据控制人有合理程度的把握确信发生数据安全事故而导致个人资料遭泄露时，即视为数据控制人已发现并开始72小时的计时。当然，由于这一定义实际上是一个事实问题，所以数据控制人一般会有一个实践上的宽限期从而让评估时间超过72小时。关于违约披露机制，GDPR第33（3）条规定了一些核心指标，而第33（4）条规定了当数据控制人无法在通知的时间点提供所有所需信息时的情况。GDPR第33（2）条则规定了数据处理人在数据安全事故中的告知义务，要求数据处理人必须将个人数据泄露的情况不加延迟地告知数据控制人。

当然，为了在短时间内进行检测、分类和通知以符合GDPR的要求，数据控制人需要制定事故响应策略。事件响应策略一般应当包括事件响应计划、事件响应预案、事件响应团队的动员等。

GDPR第34条规定，如果这些数据泄露可能给个人的权利和自由带来高风险，则数据控制人需要将数据安全事故的情况告知数据主体。因此，与第33条的无条件报告数据合规监管机构义务不同，GDPR第34条中的告知义务需要满足一定的条件。例如，个人姓名和邮箱账户数据的泄露事故需要上报给监管机构，但由于人们往往已经在网络环境下公开了他们的姓名和邮箱，因此这种数据泄露理论上不会对数据主体产生影响，即没有必要一定去告知数据主体。关于什么样的数据安全事故可以被认为会对数据主体造成重大风险，GDPR Recital 75和Recital 76 对此作出了一定的解释。

GDPR第33（3）条规定了告知义务的例外情况。第一种例外情况即数据控制人已经对数据实施了加密或其他处理使个人数据变得不可读或难以理解。这一例外规则也被称为“加密安全港”，因为加密安全措施的应用免除了数据控制人的告知义务。换句话说，加密技术的使用具有去监管性。第二种例外情况即数据控制人已经采取了积极措施阻止了高风险后果的发生。如果组织有一个应急预案可以快速地响应并减轻违规后果，那么在发生数据安全事故发生之后就不太可能需要通知数据主体。第三种例外情况是履行告知义务的成本过高或几乎不可能实现，最可能出现这种情况的是数据控制人无法识别受数据泄露影响的所有个人。在这种情况下，组织仍然需要以某种形式广泛公开声明履行一定的告知义务，如通过新闻发布或在网站上的声明。

另外根据GDPR第34（4）条，监管机构可以命令数据控制人履行告知义务，比如数据控制人根据第33条向监管机构披露数据泄露信息后监管机构可能会依职权要求数据控制人进行告知。

那么何谓对数据主体的高风险数据安全事故呢？GDPR Recital 75和76对此作出了解释。一般而言，高风险有两种含义，一种是有数量庞大的数据主体受到影响，另一种是对某些数据主体的伤害性较高。常见的高风险数据安全事故有以下情况：

① 对线上业务的网络攻击，从而导致大量数据泄露；

② 加密数据收到勒索攻击，且这些加密数据没有备份或无法恢复；

③ 因网络攻击导致医疗记录长达30小时以上无法访问；

④ 一个直接营销电子邮件发送至多个个人，且公开所有收件人的电子邮件地址给每个收件人。