数据泄露处罚数量远低于报告数量的原因可能与监管者人手不足有关。
欧华律师事务所( DLA Piper )近期报告称:欧洲委员会官方统计数据显示,自2018年5月25日《通用数据保护条例》(GDPR)实施至2019年1月28日(数据保护日),共有41,502起数据泄露被通报。但该数据仅统计了28个欧盟成员国中的21个,且未包含挪威、冰岛和列支敦士登等虽不是欧盟成员国却归属欧洲经济区(EEA)的GDPR辖区。
欧华律师事务所的分析数据则表明:同一时间段内欧洲共报告了59,430起数据泄露,其中荷兰、德国和英国的报告数量最多,分别为15,400、12,600和10,600起,三者总共占了所有数据泄露通报的近2/3。
GDPR监管之下,公司企业一旦发现数据泄露,必须在72小时之内向国家数据保护监管机构和受影响个人通报个人数据暴露情况。GDPR还要求实现严格的数据保护安全措施,对不合规的处罚也非常严厉:其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。
GDPR处罚
上述时间段内,监管机构对GDPR违规行为的处罚共有91起,但不是全都与个人数据暴露有关。比如说,法国数据保护机构(CNIL)最近对谷歌处以5000万欧元罚款就不是因为个人数据泄露,而是因为其未按GDPR要求征求用户同意就出于广告目的处理了个人数据。
德国监管机构对某公司处以2万欧元罚款是因为该公司未以密码散列保护雇员口令。而在奥地利,某公司因未经授权就监控了部分公共步道而被罚款4,800欧元。
待办案件耗尽监管资源
截至目前,除了对谷歌的高额罚款,GDPR违规处罚的数量和金额都远低于被披露数据泄露的量。这有可能是因为某些国家仍在适应监督的加强和协调自己当前的职能。
欧华律所的研究人员在报告中称:
监管机构积压的数据泄露通报很多。吸引眼球的大型数据泄露不可避免地成为了他们分配人手处理的优先事项,所以很多公司企业还在等待监管机构的回复。
数据显示,在严厉处罚的高压下,很多公司已准备遵从GDPR的数据泄露通报要求,但不同国家和地区仍存在很大差异。
举个例子,将数据泄露通报与人口规模相关联的国家,荷兰、冰岛和丹麦便位居前三甲,而德国和英国落到了第10位和第11位。罗马尼亚、意大利和希腊的每10万人数据泄露通报比最小,分别为1.2、0.9和0.6。
GDPR监管之下,隐瞒数据泄露的做法风险非常之高。
DLA Piper 报告:
https://www.dlapiper.com/en/uk/insights/publications/2019/01/gdpr-data-breach-survey/