GDPR 在過去八個月裡報告了 5 萬 9 千個違規行為
“監管機構壓力很大,收件箱裡堆積了大量違規通知。”
自歐盟 GDPR 立法於 2018 年 5 月生效以來,歐盟資料保護機構已經收到了超過 5 萬 9 千個資料洩露事件的報告。
這是來自全球律師事務所 DLA Piper 新報告的調查結果,其發現英國資料保護機構資訊專員辦公室(the Information Commissioners Offices,簡稱 ICO)在過去 8 個月中收到了逾 1 萬個違規通知。
違規通知的嚴重程度從錯誤傳送電子郵件,到最近 空客遭黑客攻擊 等重大洩露事件。
歐盟報告違規最多的國家是荷蘭,有超過 1 萬 5 個違規事件;德國排在第二,有超過 1 萬 2 千 500 個違規事件;英國位列第三,有 1 萬零 600 個;接下來就是愛爾蘭,同期報告了近 4 千起違規事件。
圖片來源:DLA Piper
GDPR 違規罰款
針對新的 GDPR 法規,到目前為止只施行了 91 項罰款,因為過去一年中罰款的網路事件很多都發生在 GDPR 新規釋出之前。迄今為止最大的一筆罰款是 5 千萬歐元,由法國資料管理局 CNIL 向谷歌罰款,與其處理他們的 使用者個人資訊 的方式有關。
報告中提到的其他罰款包括對一家德國公司 2 千萬歐元的罰款,因為其沒有雜湊其員工的密碼,該安全問題隨後導致了安全漏洞。同時,一家奧地利公司被罰款 4 千 8 百歐元,因為其在公共道路上過度使用監控攝像頭。
隨著監管機構和資料保護部門逐漸適應新制度,並開始花時間評估每份報告,預計目前發出的罰款通知只是一波罰款潮的開始。
DLA Piper 報告 指出:“監管部門壓力很大,他們收到了大量違規報告。在分配資源時,不可避免地讓更奪人眼球的違規事件獲得優先權,因此,很多組織仍在等待來自監管部門的訊息,看是否會針對他們已下發通知的有關違規採取措施。”
專注於網路和大規模調查的 DLA Piper 合夥人 Sam Millar 對該報告評論道:“監管機構已經開始通過已經實施的 91 項 GDPR 罰款來展示自身的力量,但是,對谷歌的罰款是個具有里程碑意義的時刻,之所以引人注目,部分原因是它與個人資料洩露無關。考慮到資料洩露對個人受到傷害的風險更大,我們預計,監管機構將更嚴厲地對待資料洩露,施以更高的罰款。隨著監管機構清理積壓的通知,我們預計來年會有更多罰款。”
LogRhythm 的副總裁兼歐洲、中東、非洲區域總經理 Ross Brewer 說:“重要的是企業不要滿不在乎。GDPR 監管規則的實施是為了改善資料保護,並且監管機構會毫不猶豫地懲罰那些不守規則的企業。網路犯罪分子正在使用越來越複雜的戰術,並日漸頑固,企業需要確保自己做好充分的準備。只有使用正確的供應商和投資於能有效跟上威脅形式的正確技術(如 NextGen SIEM;使用者和實體行為分析,簡稱 UEBA;安全協調;自動化和響應,簡稱 SOAR),企業才能儘快發現並減輕威脅,避免監管機構的重罰。”
閱讀英文原文:Over 59,000 GDPR Infractions Reported in the Last Eight Months: https://www.cbronline.com/news/gdpr-breach-fines