“监管机构压力很大,收件箱里堆积了大量违规通知。”
自欧盟GDPR立法于2018年5月生效以来,欧盟数据保护机构已经收到了超过5万9千个数据泄露事件的报告。
这是来自全球律师事务所DLA Piper新报告的调查结果,其发现英国数据保护机构信息专员办公室(the Information Commissioners Offices,简称ICO)在过去8个月中收到了逾1万个违规通知。
违规通知的严重程度从错误发送电子邮件,到最近空客遭黑客攻击等重大泄露事件。
欧盟报告违规最多的国家是荷兰,有超过1万5个违规事件;德国排在第二,有超过1万2千500个违规事件;英国位列第三,有1万零600个;接下来就是爱尔兰,同期报告了近4千起违规事件。
图片来源:DLA Piper
GDPR违规罚款
针对新的GDPR法规,到目前为止只施行了91项罚款,因为过去一年中罚款的网络事件很多都发生在GDPR新规发布之前。迄今为止最大的一笔罚款是5千万欧元,由法国数据管理局CNIL向谷歌罚款,与其处理他们的用户个人信息的方式有关。
报告中提到的其他罚款包括对一家德国公司2千万欧元的罚款,因为其没有哈希其员工的密码,该安全问题随后导致了安全漏洞。同时,一家奥地利公司被罚款4千8百欧元,因为其在公共道路上过度使用监控摄像头。
随着监管机构和数据保护部门逐渐适应新制度,并开始花时间评估每份报告,预计目前发出的罚款通知只是一波罚款潮的开始。
DLA Piper报告指出:“监管部门压力很大,他们收到了大量违规报告。在分配资源时,不可避免地让更夺人眼球的违规事件获得优先权,因此,很多组织仍在等待来自监管部门的消息,看是否会针对他们已下发通知的有关违规采取措施。”
专注于网络和大规模调查的DLA Piper合伙人Sam Millar对该报告评论道:“监管机构已经开始通过已经实施的91项GDPR罚款来展示自身的力量,但是,对谷歌的罚款是个具有里程碑意义的时刻,之所以引人注目,部分原因是它与个人数据泄露无关。考虑到数据泄露对个人受到伤害的风险更大,我们预计,监管机构将更严厉地对待数据泄露,施以更高的罚款。随着监管机构清理积压的通知,我们预计来年会有更多罚款。”
LogRhythm的副总裁兼欧洲、中东、非洲区域总经理Ross Brewer说:“重要的是企业不要满不在乎。GDPR监管规则的实施是为了改善数据保护,并且监管机构会毫不犹豫地惩罚那些不守规则的企业。网络犯罪分子正在使用越来越复杂的战术,并日渐顽固,企业需要确保自己做好充分的准备。只有使用正确的供应商和投资于能有效跟上威胁形式的正确技术(如NextGen SIEM;用户和实体行为分析,简称UEBA;安全协调;自动化和响应,简称SOAR),企业才能尽快发现并减轻威胁,避免监管机构的重罚。”
阅读英文原文:Over 59,000 GDPR Infractions Reported in the Last Eight Months:https://www.cbronline.com/news/gdpr-breach-fines