为了更好地维护数据处理过程中个人数据的安全，欧盟GDPR（又称《通用数据保护条例》）应运而生。该条例将保护对象限定为个人数据，通过对数据处理者、控制者行为的监管，数据主体权利的赋予以及监管机构的完备设立，更好地维护个人数据安全。在欧盟GDPR中，对个人数据安全问题作出了专门规定，力求在处理过程中的各个步骤对个人数据进行全方位的安全保护。

一、个人数据安全之处理的安全

在欧盟GDPR对个人数据安全的规定中，首先明确的即为处理的安全，要求数据控制者以及处理者必须通过恰当手段的采取来达到与风险相称的保障措施。根据欧盟GDPR的规定，数据控制者及处理者在采取措施时，必须要考虑到包括最新水平、实施成本、处理的性质、处理的范围、语境及目的，同时也必须兼顾可能给自然人带来伤害的可能性与严重性。

在考虑到前述因素之后，数据控制者及处理者在处理过程中为确保处理的安全，必须采取如下措施。第一，对个人数据采取匿名化及加密的处理模式，使得任何人无法通过数据直接定位到特定自然人；第二，必须确保数据处理系统本身的保密性、公正性以及有效性，同时必须确保其有重新恢复处理程序的能力；第三，若控制者或者处理者、数据处理系统受到了物理性的伤害，其有能力进行自我修复，从而恢复对自然人个人数据的获取及处理能力；最后，还必须能够进行安全测试，以更好地确认该系统的安全程度。

当然，根据欧盟GDPR的规定，个人数据在处理过程中的安全保障还必须进行准确的安全级别评估，在该评估的过程中，需要充分考虑到数据处理本身所可能导致的风险。

二、个人数据安全之向监管机构报告对数据的泄露

在数据处理过程中，个人数据的泄露也是不容忽视的现存问题之一。根据欧盟GDPR的规定，数据控制者在发现个人数据被泄露后，应当在不超过72小时的时间之内，及时向欧盟GDPR规定的有权对个人数据处理活动进行监管的监管机构进行报告，明确数据泄露的具体情形、范围以及可能造成的影响。若确实有客观因素导致数据控制者无法及时向监管机构报告数据泄露的有关情况，则其必须在障碍消失后及时报告，并且对延迟报告的具体原因进行说明。此外，若数据处理者先于数据控制者发现数据泄露情形，必须将相关情况如实及时告知数据控制者，由数据控制者向监管机构进行反映。

除告知义务外，欧盟GDPR还对告知的具体内容作出了详尽的要求。其中明确，在告知数据泄露事件时，必须首先对个人数据泄露的性质进行尽可能准确的描述，在允许的情形下同时对该遭到泄露的个人数据的数据主体的类型和大致数量进行描述。此外，还需要告知数据保护官的姓名和联系方式，以便及时沟通相关情况。对个人数据泄露所可能造成的后果进行描述，以便采取更为恰当的处理措施。此外，必须对所有为应对此次数据泄露行为所采取的措施进行准确记录，以便更好地分析事件发生的原因并寻找对策。

三、个人数据安全之向数据主体传达数据的泄露

数据主体作为数据泄露最可能直接损害的对象， 对数据泄露事件的相关情形理应享有知情权。根据欧盟GDPR的规定，数据主体由于并非专业人士，必须被以清晰平白的语言告知数据泄露相关情形。但欧盟GDPR同时也强调，若告知成本过高或者数据控制者已经采取恰当措施，不会对数据主体造成损失的情形下，数据主体也可不被告知此次个人数据泄露事件。

综上，个人数据安全的保障必须从数据处理过程中的多个主体及环节入手，切实做到多主体努力、多方位监督，以更好地保障个人数据在处理过程中的安全性。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。