信息來源:安全牛
并不是沒有人預(yù)見到它的到來。畢竟現(xiàn)行的《歐盟通用數(shù)據(jù)保護(hù)條例》是自 2012 年以來一直在公眾監(jiān)督下制定的,并于 2018 年 5 月起全面生效。但該條例的的實(shí)施情況還存在一定的不確定性,尤其是在跨國公司中。
從本質(zhì)上講,GDPR 要求企業(yè)和國家的個(gè)人數(shù)據(jù)看管人保護(hù)這些信息,以保護(hù)歐洲公民的隱私,并禁止向該區(qū)域以外的國家流出個(gè)人數(shù)據(jù)。根據(jù)該協(xié)議,違規(guī)行為可能會(huì)導(dǎo)致高達(dá)組織機(jī)構(gòu)年收入 4% 的罰款。
在新法律生效之前,人們普遍為潛在罰款的數(shù)額哀嚎。在新規(guī)定實(shí)施的第一年,GDPR 也確實(shí)對(duì)一些違規(guī)者進(jìn)行了懲罰。這些被點(diǎn)名的企業(yè)被處以總計(jì) 5600 萬美元的罰款。這不是一個(gè)小數(shù)目,但是對(duì)于數(shù)十億美元的公司來說,這是一筆相對(duì)較小的經(jīng)營成本。因此,盡管 GDPR 確實(shí)規(guī)定了巨額罰款,但根據(jù)其第一年實(shí)行情況,很多企業(yè)還是會(huì)認(rèn)為罰款金額仍然會(huì)保持相對(duì)較低。
隨后在 2014 年就發(fā)生了喜達(dá)屋酒店及度假酒店國際集團(tuán) (Starwood Hotels & Resorts) 泄密事件,此次事件導(dǎo)致了包括密碼、支付卡號(hào)和其他個(gè)人身份信息在內(nèi)的客戶數(shù)據(jù)大量丟失。萬豪于 2016 年收購喜達(dá)屋時(shí)可能并不知道此事,也沒有完全理解此次事件的重要性。但是萬豪在 2018 年因?yàn)樵撌录涣P款 1.24 億美元——約占該組織年收入的 2%——對(duì)這家全球酒店經(jīng)營者來說無疑是一記警鐘。
這也為其他考慮并購的企業(yè)敲響了警鐘。萬豪在收購喜達(dá)屋時(shí)顯然獲得了超出預(yù)期的回報(bào),這對(duì)其資產(chǎn)負(fù)債表產(chǎn)生了重大影響。萬豪最初認(rèn)為的競爭優(yōu)勢,現(xiàn)在除了損害了自己在潛在客戶中的聲譽(yù)外,還變成了財(cái)務(wù)負(fù)擔(dān)。如果不評(píng)估收購目標(biāo)持有的敏感數(shù)據(jù)所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)——也不確認(rèn)圍繞這些數(shù)據(jù)是否具備強(qiáng)大的檢測和響應(yīng)能力——那么,其妥協(xié)伴隨著責(zé)任就會(huì)成為交易中不受歡迎的一部分。
在 2017 年也發(fā)生過類似的事情,當(dāng)時(shí)雅虎的數(shù)據(jù)遭到兩次大規(guī)模泄露,而該公司即將被 Verizon 收購。結(jié)果,收購條款突然發(fā)生了變化。Verizon 最終支付的價(jià)格比最初的報(bào)價(jià)低 3.5 億美元。除此之外,兩家公司還同意共同承擔(dān)約 15 億被黑賬戶所帶來的法律和監(jiān)管責(zé)任。
今年對(duì)萬豪的罰款也打破了人們?cè)跉W洲另一個(gè)普遍持有的觀點(diǎn)。根據(jù)以往處理涉及個(gè)人信息問題的經(jīng)驗(yàn),一旦 GDPR 到位,社交媒體巨頭如 Facebook 和谷歌等將成為其主要目標(biāo)。盡管監(jiān)管機(jī)構(gòu)仍對(duì)社交媒體特別關(guān)注,但喜達(dá)屋事件表明,發(fā)生潛在不法行為的范圍也擴(kuò)展到了其他類型的企業(yè)。
但是 GDPR 并沒有建立一支網(wǎng)絡(luò)警察隊(duì)伍來搜尋違規(guī)行為。相反,該協(xié)議的一個(gè)關(guān)鍵組成部分涉及違規(guī)行為的自我報(bào)告。有關(guān)機(jī)構(gòu)須在知悉此類數(shù)據(jù)泄露后的 72 小時(shí)內(nèi),向監(jiān)管機(jī)構(gòu)及受影響人士報(bào)告?zhèn)€人資料外泄情況??蓤?bào)告的違規(guī)行為可能小到無意中密件抄送了某人,也可能大到在線暴露了詳細(xì)客戶數(shù)據(jù)庫。信息保障和隱私從業(yè)者 (Information Assurance and Privacy Practitioners, IAPP) 最近發(fā)布了一份關(guān)于 GDPR 第一年情況的研究報(bào)告。2018 年 5 月至 2019 年 2 月,歐盟及其伙伴國家的監(jiān)管機(jī)構(gòu)共收到約 5.9 萬份違規(guī)通知;其中 91 個(gè)違規(guī)行為被罰款,大部分?jǐn)?shù)額相對(duì)較小。然而很多觀察者認(rèn)為,實(shí)際的違規(guī)數(shù)量可能更大,其中很多可能涉及上千甚至上百萬份文件的泄露。
并非只有歐洲在致力于保護(hù)個(gè)人數(shù)據(jù)。雖然國家立法可能受到黨派壁壘的影響,但美國聯(lián)邦貿(mào)易委員會(huì) (Federal Trade Commission) 最近批準(zhǔn)對(duì) Facebook 處以 50 億美元罰款,原因是該公司對(duì)用戶個(gè)人信息處理不當(dāng)。新加坡有自己的個(gè)人數(shù)據(jù)保護(hù)法,類似于 GDPR。澳大利亞有自己的隱私原則。甚至南非也有詳細(xì)的隱私協(xié)議。
但是,盡管全世界在保護(hù)個(gè)人數(shù)據(jù)和優(yōu)先考慮第三方風(fēng)險(xiǎn)管理方面取得了進(jìn)展,但在信息所有權(quán)上仍然存在重大文化差異。例如在美國,很多在歐洲受限制的數(shù)據(jù)都是被公開收集和自由交換的。對(duì)于總部在美國、客戶和文件分布在很多不同國家的公司來說,協(xié)調(diào)沖突和法律可能在未來幾年仍將是一個(gè)令人頭疼的問題。