報告:5.9萬GDPR資料洩露事件僅91起處罰
資料洩露處罰數量遠低於報告數量的原因可能與監管者人手不足有關。
歐華律師事務所( DLA Piper )近期報告稱:歐洲委員會官方統計資料顯示,自2018年5月25日《通用資料保護條例》(GDPR)實施至2019年1月28日(資料保護日),共有41,502起資料洩露被通報。但該資料僅統計了28個歐盟成員國中的21個,且未包含挪威、冰島和列支敦斯登等雖不是歐盟成員國卻歸屬歐洲經濟區(EEA)的GDPR轄區。
歐華律師事務所的分析資料則表明:同一時間段內歐洲共報告了 59,430 起資料洩露,其中荷蘭、德國和英國的報告數量最多,分別為15,400、12,600和10,600起,三者總共佔了所有資料洩露通報的近2/3。
GDPR監管之下,公司企業一旦發現數據洩露,必須在72小時之內向國家資料保護監管機構和受影響個人通報個人資料暴露情況。GDPR還要求實現嚴格的資料保護安全措施,對不合規的處罰也非常嚴厲:其罰款範圍是1000萬到2000萬歐元,或企業全球年營業額的2%到4%。
GDPR處罰
上述時間段內,監管機構對GDPR違規行為的處罰共有 91 起,但不是全都與個人資料暴露有關。比如說,法國資料保護機構(CNIL)最近對谷歌處以5000萬歐元罰款就不是因為個人資料洩露,而是因為其未按GDPR要求徵求使用者同意就出於廣告目的處理了個人資料。
德國監管機構對某公司處以2萬歐元罰款是因為該公司未以密碼雜湊保護僱員口令。而在奧地利,某公司因未經授權就監控了部分公共步道而被罰款4,800歐元。
待辦案件耗盡監管資源
截至目前,除了對谷歌的高額罰款,GDPR違規處罰的數量和金額都遠低於被披露資料洩露的量。這有可能是因為某些國家仍在適應監督的加強和協調自己當前的職能。
歐華律所的研究人員在報告中稱:
監管機構積壓的資料洩露通報很多。吸引眼球的大型資料洩露不可避免地成為了他們分配人手處理的優先事項,所以很多公司企業還在等待監管機構的回覆。
資料顯示,在嚴厲處罰的高壓下,很多公司已準備遵從GDPR的資料洩露通報要求,但不同國家和地區仍存在很大差異。
舉個例子,將資料洩露通報與人口規模相關聯的國家,荷蘭、冰島和丹麥便位居前三甲,而德國和英國落到了第10位和第11位。羅馬尼亞、義大利和希臘的每10萬人資料洩露通報比最小,分別為1.2、0.9和0.6。
GDPR監管之下,隱瞞資料洩露的做法風險非常之高。
DLA Piper 報告:
https://www.dlapiper.com/en/uk/insights/publications/2019/01/gdpr-data-breach-survey/