网络安全观察国外政策法规大事件

数据泄露事件

关键发现：

=1亿 41% 100万~999万 29% 1000万~9999万 12% 图 6.14 数据泄露数量级别分布

国外政策法规大事件

关键发现：

2019 年欧盟 GDPR开启收割模式，单项罚款高达到 1.83 亿英镑，GDPR 合规性不容忽视 美国加州于 2020 年 1 月 1 日正式实施 CCPA，跨国企业的数据合规建设刻不容缓 美国罚款 Facebook 公司因 2018 年数据泄露事件 50 亿美元，为本年度违规最高金额 2018 年 5 月 25 日，欧盟正式颁布《通用数据保护条例》（General Data Protection Regulation， GDPR）用以保护欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。受 GDPR影响，全球的其他国家也陆续推出了数据安全保护的相关法规：巴西于 2019 年 7 月通过《通用 数据保护法》（葡萄牙语简称 LGPD）的最终版本，将于 2020 年 8 月生效；印度在 2018 年的立法上， 12 月公布修改后的《2019 年个人数据保护法（草案）》（Personal Data Protection Bill, 2019）；泰国 于 2019 年 5 月 28 日正式实施《个人数据保护法》（Personal Data Protection Act ，PDPA）等。 2019 年，GDPR 进入全面执法阶段，一个典型趋势是欧盟多数成员国已经陆续开出了多张违反 GDPR的罚单。其中，英国执法力度最大，英国 ICO（Information Commissioner’s Office）于 7 月 8 日 和 9 日分别对英国航空公司（英航）和万豪国际集团由于数据泄露事件分别开出 1.83 亿英镑和 9900 万英镑的罚款，为年度最高的两张巨额罚单。对于罚款金额，GDPR 第 83 条给出解释，犯规罚款金额 的最高值取“最高 2000 万欧元或对企业占上一财政年度全球总营业额 4% 的行政罚款”的最高值。 上述两个事件分别占到了英航和万豪上一财政年度全球总营业额的 1.5% 和 3.4%，由此可见英国对违 发 GDPR的企业处罚力度非常严厉。此外，法国也对 Google 开出了 5700 万美元的巨额罚单，原因是 Google 的隐私条款的设计非常难以被用户理解。从我们收集的 8 起 GDPR罚款事件看，有 4 起（一半 事件）是由于数据泄露原因造成，包括前面提到的英国 ICO的 2 起罚款事件；由此可见数据防泄漏以 及建立应急响应机制是企业满足 GDPR合规重要内容。另外 4 起分别是多元性的原因，包括隐私条款 设计问题、未采取安全保密措施、未满足用户权利要求和违规识别生物敏感数据。

欧盟 GDPR罚款事件 [^1]：

1. 2019 年 7 月，英国 ICO对英国航空公司开出 1.83 亿英镑（约合 15.94 亿元人民币）的罚款， 约占该公司年收入的 1.5%。（罚款原因：数据泄露）
2. 2019 年 7 月，英国 ICO对万豪国际集团开出和 9900 万英镑（约合 8.57 亿元人民币）的罚款， 约占该公司全球年收入的 3.4%。（罚款原因：数据泄露）
3. 2019 年 9 月，波兰对购物网站 Morele.net 由于数据泄露处以 64.478 万欧元罚款。（罚款原因： 数据泄露）
4. 2019 年 8月，保加利亚对 DSK 银行由于数据泄露处罚 51.1 万欧元的罚款。（罚款原因：数据泄露）
5. 2019 年 6 月，荷兰对 Haga 医院处罚 46 万欧元的罚款，原因是十名职员不必要的查看一名著 名的公众人物的医疗记录。（未采取安全保密措施）
6. 2019 年 8 月，瑞典对一家学校处以 1.8 万欧元罚款，原因是使用技术来记录学生考勤 处罚，GDPR 原则上禁止以识别自然人身份为目的处理生物特征数据。（罚款原因：违规识别 生物敏感数据）

参考资料

友情链接