信息來源:安全牛
并不是沒有人預(yù)見到它的到來����。畢竟現(xiàn)行的《歐盟通用數(shù)據(jù)保護(hù)條例》是自 2012 年以來一直在公眾監(jiān)督下制定的,并于 2018 年 5 月起全面生效���。但該條例的的實(shí)施情況還存在一定的不確定性�����,尤其是在跨國公司中���。
從本質(zhì)上講,GDPR 要求企業(yè)和國家的個(gè)人數(shù)據(jù)看管人保護(hù)這些信息��,以保護(hù)歐洲公民的隱私����,并禁止向該區(qū)域以外的國家流出個(gè)人數(shù)據(jù)。根據(jù)該協(xié)議����,違規(guī)行為可能會(huì)導(dǎo)致高達(dá)組織機(jī)構(gòu)年收入 4% 的罰款。
在新法律生效之前���,人們普遍為潛在罰款的數(shù)額哀嚎����。在新規(guī)定實(shí)施的第一年�,GDPR 也確實(shí)對(duì)一些違規(guī)者進(jìn)行了懲罰。這些被點(diǎn)名的企業(yè)被處以總計(jì) 5600 萬美元的罰款����。這不是一個(gè)小數(shù)目,但是對(duì)于數(shù)十億美元的公司來說,這是一筆相對(duì)較小的經(jīng)營成本���。因此����,盡管 GDPR 確實(shí)規(guī)定了巨額罰款����,但根據(jù)其第一年實(shí)行情況,很多企業(yè)還是會(huì)認(rèn)為罰款金額仍然會(huì)保持相對(duì)較低����。
隨后在 2014 年就發(fā)生了喜達(dá)屋酒店及度假酒店國際集團(tuán) (Starwood Hotels & Resorts) 泄密事件,此次事件導(dǎo)致了包括密碼���、支付卡號(hào)和其他個(gè)人身份信息在內(nèi)的客戶數(shù)據(jù)大量丟失�����。萬豪于 2016 年收購喜達(dá)屋時(shí)可能并不知道此事��,也沒有完全理解此次事件的重要性�����。但是萬豪在 2018 年因?yàn)樵撌录涣P款 1.24 億美元——約占該組織年收入的 2%——對(duì)這家全球酒店經(jīng)營者來說無疑是一記警鐘��。
這也為其他考慮并購的企業(yè)敲響了警鐘���。萬豪在收購喜達(dá)屋時(shí)顯然獲得了超出預(yù)期的回報(bào),這對(duì)其資產(chǎn)負(fù)債表產(chǎn)生了重大影響���。萬豪最初認(rèn)為的競(jìng)爭(zhēng)優(yōu)勢(shì)�����,現(xiàn)在除了損害了自己在潛在客戶中的聲譽(yù)外�,還變成了財(cái)務(wù)負(fù)擔(dān)���。如果不評(píng)估收購目標(biāo)持有的敏感數(shù)據(jù)所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)——也不確認(rèn)圍繞這些數(shù)據(jù)是否具備強(qiáng)大的檢測(cè)和響應(yīng)能力——那么���,其妥協(xié)伴隨著責(zé)任就會(huì)成為交易中不受歡迎的一部分。
在 2017 年也發(fā)生過類似的事情����,當(dāng)時(shí)雅虎的數(shù)據(jù)遭到兩次大規(guī)模泄露,而該公司即將被 Verizon 收購��。結(jié)果,收購條款突然發(fā)生了變化��。Verizon 最終支付的價(jià)格比最初的報(bào)價(jià)低 3.5 億美元�����。除此之外���,兩家公司還同意共同承擔(dān)約 15 億被黑賬戶所帶來的法律和監(jiān)管責(zé)任�����。
今年對(duì)萬豪的罰款也打破了人們?cè)跉W洲另一個(gè)普遍持有的觀點(diǎn)���。根據(jù)以往處理涉及個(gè)人信息問題的經(jīng)驗(yàn),一旦 GDPR 到位���,社交媒體巨頭如 Facebook 和谷歌等將成為其主要目標(biāo)�����。盡管監(jiān)管機(jī)構(gòu)仍對(duì)社交媒體特別關(guān)注���,但喜達(dá)屋事件表明����,發(fā)生潛在不法行為的范圍也擴(kuò)展到了其他類型的企業(yè)���。
但是 GDPR 并沒有建立一支網(wǎng)絡(luò)警察隊(duì)伍來搜尋違規(guī)行為����。相反���,該協(xié)議的一個(gè)關(guān)鍵組成部分涉及違規(guī)行為的自我報(bào)告。有關(guān)機(jī)構(gòu)須在知悉此類數(shù)據(jù)泄露后的 72 小時(shí)內(nèi)�,向監(jiān)管機(jī)構(gòu)及受影響人士報(bào)告?zhèn)€人資料外泄情況??蓤?bào)告的違規(guī)行為可能小到無意中密件抄送了某人,也可能大到在線暴露了詳細(xì)客戶數(shù)據(jù)庫�����。信息保障和隱私從業(yè)者 (Information Assurance and Privacy Practitioners, IAPP) 最近發(fā)布了一份關(guān)于 GDPR 第一年情況的研究報(bào)告���。2018 年 5 月至 2019 年 2 月����,歐盟及其伙伴國家的監(jiān)管機(jī)構(gòu)共收到約 5.9 萬份違規(guī)通知;其中 91 個(gè)違規(guī)行為被罰款�,大部分?jǐn)?shù)額相對(duì)較小。然而很多觀察者認(rèn)為��,實(shí)際的違規(guī)數(shù)量可能更大����,其中很多可能涉及上千甚至上百萬份文件的泄露。
并非只有歐洲在致力于保護(hù)個(gè)人數(shù)據(jù)�。雖然國家立法可能受到黨派壁壘的影響,但美國聯(lián)邦貿(mào)易委員會(huì) (Federal Trade Commission) 最近批準(zhǔn)對(duì) Facebook 處以 50 億美元罰款��,原因是該公司對(duì)用戶個(gè)人信息處理不當(dāng)�����。新加坡有自己的個(gè)人數(shù)據(jù)保護(hù)法�����,類似于 GDPR�����。澳大利亞有自己的隱私原則�����。甚至南非也有詳細(xì)的隱私協(xié)議。
但是����,盡管全世界在保護(hù)個(gè)人數(shù)據(jù)和優(yōu)先考慮第三方風(fēng)險(xiǎn)管理方面取得了進(jìn)展,但在信息所有權(quán)上仍然存在重大文化差異��。例如在美國�,很多在歐洲受限制的數(shù)據(jù)都是被公開收集和自由交換的。對(duì)于總部在美國�����、客戶和文件分布在很多不同國家的公司來說�����,協(xié)調(diào)沖突和法律可能在未來幾年仍將是一個(gè)令人頭疼的問題�。
