信息化觀察網(wǎng)

數(shù)據(jù)泄露事件每天都在發(fā)生，但是大多數(shù)都不足以搬上新聞?lì)^條。歐盟頒布的《通用數(shù)據(jù)保護(hù)條例》自2018年5月25日生效以來，許多有過數(shù)據(jù)泄露歷史的公司不僅要處理數(shù)據(jù)泄露所帶來的公關(guān)問題和金融緊張，而且在該條例之下，還要面臨巨額罰款。至于《通用數(shù)據(jù)保護(hù)條例》對于公司意味著什么，我們來看下一些重大的數(shù)據(jù)泄露事件，以及如果在當(dāng)前的條例之下，當(dāng)時(shí)會(huì)有什么樣的懲罰。

《通用數(shù)據(jù)保護(hù)條例》概覽

歐洲議會(huì)于2016年通過了《通用數(shù)據(jù)保護(hù)條例》，想要以此加強(qiáng)歐洲數(shù)據(jù)隱私相關(guān)法案的實(shí)施來保護(hù)當(dāng)前“數(shù)據(jù)時(shí)代”下歐盟公民的隱私?！锻ㄓ脭?shù)據(jù)保護(hù)條例》的實(shí)施對象為歐盟內(nèi)所有擁有用戶數(shù)據(jù)隱私的公司。此外，數(shù)據(jù)泄露會(huì)使負(fù)責(zé)數(shù)據(jù)控制和處理人員和公司面臨嚴(yán)重的違法懲罰。公司必須要明確，是否從用戶方獲取使用其數(shù)據(jù)的許可，嚴(yán)禁使用模棱兩可或者閃爍其詞的法律術(shù)語。公司必須提醒用戶，在意識(shí)到數(shù)據(jù)泄露72小時(shí)之內(nèi)，他們的個(gè)人數(shù)據(jù)也會(huì)被泄露；數(shù)據(jù)處理人員也必須及時(shí)提醒用戶，不應(yīng)有延誤。其它的要求使得用戶個(gè)人更容易了解他們的數(shù)據(jù)將如何被使用和處理，請求數(shù)據(jù)擦除并獲取企業(yè)收集的個(gè)人數(shù)據(jù)。

《通用數(shù)據(jù)保護(hù)條例》也規(guī)定了未履行該條例的公司所要面臨的巨額罰款和罰金。罰款分為兩個(gè)等級(jí)：1000萬英鎊或者去年全球營業(yè)額（收入）的2%，以較高者為準(zhǔn)；2000萬英鎊或者去年全球營業(yè)額（收入）的4%，以較高者為準(zhǔn)。預(yù)計(jì)違反數(shù)據(jù)主體權(quán)利會(huì)導(dǎo)致更高級(jí)別的罰款，罰款數(shù)額是由諸多因素決定的，包括持續(xù)時(shí)間、泄露的嚴(yán)重性、以及受到影響的用戶數(shù)據(jù)類型。企業(yè)的合作和行為級(jí)別也會(huì)影響最終的罰金數(shù)額。

數(shù)據(jù)泄露和《通用數(shù)據(jù)保護(hù)條例》的影響

我們來回顧一下重大的數(shù)據(jù)泄露案件，如果當(dāng)時(shí)有《通用數(shù)據(jù)保護(hù)條例》，那么企業(yè)會(huì)受到怎樣的影響。

雅虎

在2013-2014年間，雅虎共有30億的賬戶遭到泄露，是有史以來最嚴(yán)重的數(shù)據(jù)泄露案件，不僅僅是其影響范圍，而且雅虎也并沒有“履行”《通用數(shù)據(jù)保護(hù)條例》規(guī)定的在72小時(shí)之內(nèi)公開數(shù)據(jù)泄露事件。事實(shí)上，直到2017年10月份，雅虎才完全意識(shí)到2013-2014年間多次數(shù)據(jù)泄露事件的影響程度。2012年雅虎公司的收入超過40億美元，在《通用數(shù)據(jù)保護(hù)條例》之下，雅虎會(huì)面臨8000萬美元或者1.6億美元的罰款，具體取決于《通用數(shù)據(jù)保護(hù)條例》所規(guī)定的各種因素，包括公司的“罪行”，以及公司的處理方式。

eBay

2014年，eBay發(fā)現(xiàn)其數(shù)據(jù)泄露事件影響了1.45億位用戶，并且也在相對較短的時(shí)間內(nèi)通知了用戶——eBay在5月上旬發(fā)現(xiàn)了數(shù)據(jù)泄露，但是在下旬才通知用戶——但是還是沒有在《通用數(shù)據(jù)保護(hù)條例》規(guī)定的72小時(shí)之內(nèi)通知用戶。雖然用戶的姓名、地址、出生日期和密碼被泄露，好在用戶的信用卡支付信息未被泄露出去。同時(shí)，eBay也因?yàn)槿狈贤?，?dǎo)致在更新密碼階段遇到了一些問題而受到指責(zé)，但是由于用戶的信用卡支付信息未被泄露出去，因此eBay所面臨的罰款相對較少：2013年的營業(yè)額為66億元，因此該公司所面臨的罰款會(huì)低于1000萬或者2000萬美元。

Equifax

2017年最嚴(yán)重的一次數(shù)據(jù)泄露，當(dāng)屬Equifax事件，在當(dāng)年7月份發(fā)生的泄露事件中，1.43億位用戶的個(gè)人信息遭到泄露，此外約有20.9萬用戶的信用卡信息遭到泄露。Equifax在9月份才公開這次泄露事件，并未“履行”《通用數(shù)據(jù)保護(hù)條例》規(guī)定的72小時(shí)之內(nèi)通知用戶。后來該公司推出了一個(gè)網(wǎng)站，用戶能在網(wǎng)站上查詢他們的數(shù)據(jù)是否被泄露，并且為所以的美國用戶提供信用監(jiān)控服務(wù)。該公司的處理方式、同用戶之間的協(xié)作、以及在泄露事件發(fā)生后所采取的措施，使其獲得了公眾的好評。該公司2016年的收入為31億美元，因此他們還要面臨較高等級(jí)的罰款。

上述例證表面，在《通用數(shù)據(jù)保護(hù)條例》生效后，數(shù)據(jù)泄露會(huì)給公司帶來嚴(yán)重的后果和巨額的罰款。這一條例規(guī)定嚴(yán)苛，歐盟的任何企業(yè)在為公民提供企業(yè)服務(wù)時(shí)，都要?jiǎng)?wù)必遵守和履行《通用數(shù)據(jù)保護(hù)條例》的規(guī)定。

原文作者：Bernard Marr