數據洩露處罰數量遠低於報告數量的原因可能與監管者人手不足有關。
歐華律師事務所( DLA Piper )近期報告稱:歐洲委員會官方統計數據顯示,自2018年5月25日《通用數據保護條例》(GDPR)實施至2019年1月28日(數據保護日),共有41,502起數據洩露被通報。但該數據僅統計了28個歐盟成員國中的21個,且未包含挪威、冰島和列支敦士登等雖不是歐盟成員國卻歸屬歐洲經濟區(EEA)的GDPR轄區。
歐華律師事務所的分析數據則表明:同一時間段內歐洲共報告了59,430起數據洩露,其中荷蘭、德國和英國的報告數量最多,分別為15,400、12,600和10,600起,三者總共佔了所有數據洩露通報的近2/3。
GDPR監管之下,公司企業一旦發現數據洩露,必須在72小時之內向國家數據保護監管機構和受影響個人通報個人數據暴露情況。GDPR還要求實現嚴格的數據保護安全措施,對不合規的處罰也非常嚴厲:其罰款範圍是1000萬到2000萬歐元,或企業全球年營業額的2%到4%。
GDPR處罰
上述時間段內,監管機構對GDPR違規行為的處罰共有91起,但不是全都與個人數據暴露有關。比如說,法國數據保護機構(CNIL)最近對谷歌處以5000萬歐元罰款就不是因為個人數據洩露,而是因為其未按GDPR要求徵求用戶同意就出於廣告目的處理了個人數據。
德國監管機構對某公司處以2萬歐元罰款是因為該公司未以密碼散列保護僱員口令。而在奧地利,某公司因未經授權就監控了部分公共步道而被罰款4,800歐元。
待辦案件耗盡監管資源
截至目前,除了對谷歌的高額罰款,GDPR違規處罰的數量和金額都遠低於被披露數據洩露的量。這有可能是因為某些國家仍在適應監督的加強和協調自己當前的職能。
歐華律所的研究人員在報告中稱:
“
監管機構積壓的數據洩露通報很多。吸引眼球的大型數據洩露不可避免地成為了他們分配人手處理的優先事項,所以很多公司企業還在等待監管機構的回覆。
數據顯示,在嚴厲處罰的高壓下,很多公司已準備遵從GDPR的數據洩露通報要求,但不同國家和地區仍存在很大差異。
舉個例子,將數據洩露通報與人口規模相關聯的國家,荷蘭、冰島和丹麥便位居前三甲,而德國和英國落到了第10位和第11位。羅馬尼亞、意大利和希臘的每10萬人數據洩露通報比最小,分別為1.2、0.9和0.6。
“
GDPR監管之下,隱瞞數據洩露的做法風險非常之高。
DLA Piper 報告:
https://www.dlapiper.com/en/uk/insights/publications/2019/01/gdpr-data-breach-survey/
相關閱讀
GDPR通用數據保護條例-要點總結
GDPR合規審核需要遵循的4大關鍵步驟
9.5萬起投訴:GDPR生效後歐盟國家投訴激增
閱讀更多 安全牛 的文章
