数据泄露事件每天都在发生,但是大多数都不足以搬上新闻头条。欧盟颁布的《通用数据保护条例》自2018年5月25日生效以来,许多有过数据泄露历史的公司不仅要处理数据泄露所带来的公关问题和金融紧张,而且在该条例之下,还要面临巨额罚款。至于《通用数据保护条例》对于公司意味着什么,我们来看下一些重大的数据泄露事件,以及如果在当前的条例之下,当时会有什么样的惩罚。
《通用数据保护条例》概览
欧洲议会于2016年通过了《通用数据保护条例》,想要以此加强欧洲数据隐私相关法案的实施来保护当前“数据时代”下欧盟公民的隐私。《通用数据保护条例》的实施对象为欧盟内所有拥有用户数据隐私的公司。此外,数据泄露会使负责数据控制和处理人员和公司面临严重的违法惩罚。公司必须要明确,是否从用户方获取使用其数据的许可,严禁使用模棱两可或者闪烁其词的法律术语。公司必须提醒用户,在意识到数据泄露72小时之内,他们的个人数据也会被泄露;数据处理人员也必须及时提醒用户,不应有延误。其它的要求使得用户个人更容易了解他们的数据将如何被使用和处理,请求数据擦除并获取企业收集的个人数据。
《通用数据保护条例》也规定了未履行该条例的公司所要面临的巨额罚款和罚金。罚款分为两个等级:1000万英镑或者去年全球营业额(收入)的2%,以较高者为准;2000万英镑或者去年全球营业额(收入)的4%,以较高者为准。预计违反数据主体权利会导致更高级别的罚款,罚款数额是由诸多因素决定的,包括持续时间、泄露的严重性、以及受到影响的用户数据类型。企业的合作和行为级别也会影响最终的罚金数额。
数据泄露和《通用数据保护条例》的影响
我们来回顾一下重大的数据泄露案件,如果当时有《通用数据保护条例》,那么企业会受到怎样的影响。
雅虎
在2013-2014年间,雅虎共有30亿的账户遭到泄露,是有史以来最严重的数据泄露案件,不仅仅是其影响范围,而且雅虎也并没有“履行”《通用数据保护条例》规定的在72小时之内公开数据泄露事件。事实上,直到2017年10月份,雅虎才完全意识到2013-2014年间多次数据泄露事件的影响程度。2012年雅虎公司的收入超过40亿美元,在《通用数据保护条例》之下,雅虎会面临8000万美元或者1.6亿美元的罚款,具体取决于《通用数据保护条例》所规定的各种因素,包括公司的“罪行”,以及公司的处理方式。
eBay
2014年,eBay发现其数据泄露事件影响了1.45亿位用户,并且也在相对较短的时间内通知了用户——eBay在5月上旬发现了数据泄露,但是在下旬才通知用户——但是还是没有在《通用数据保护条例》规定的72小时之内通知用户。虽然用户的姓名、地址、出生日期和密码被泄露,好在用户的信用卡支付信息未被泄露出去。同时,eBay也因为缺乏沟通,导致在更新密码阶段遇到了一些问题而受到指责,但是由于用户的信用卡支付信息未被泄露出去,因此eBay所面临的罚款相对较少:2013年的营业额为66亿元,因此该公司所面临的罚款会低于1000万或者2000万美元。
Equifax
2017年最严重的一次数据泄露,当属Equifax事件,在当年7月份发生的泄露事件中,1.43亿位用户的个人信息遭到泄露,此外约有20.9万用户的信用卡信息遭到泄露。Equifax在9月份才公开这次泄露事件,并未“履行”《通用数据保护条例》规定的72小时之内通知用户。后来该公司推出了一个网站,用户能在网站上查询他们的数据是否被泄露,并且为所以的美国用户提供信用监控服务。该公司的处理方式、同用户之间的协作、以及在泄露事件发生后所采取的措施,使其获得了公众的好评。该公司2016年的收入为31亿美元,因此他们还要面临较高等级的罚款。
上述例证表面,在《通用数据保护条例》生效后,数据泄露会给公司带来严重的后果和巨额的罚款。这一条例规定严苛,欧盟的任何企业在为公民提供企业服务时,都要务必遵守和履行《通用数据保护条例》的规定。
原文作者:Bernard Marr