隨著歐盟具有里程碑意義的《通用數據保護條例(簡稱GDPR)》全面開放超過八個月之后,其引發的一大實質性影響已經得到廣泛認可:相較于開誠布公,遮掩安全事件反而會引發更加夸張的經濟損失。
作為眾多目標中的核心一條,GDPR要求各類組織機構在發現安全違規行為之后的72小時之內對其進行報告。如果未能及時履行要求,那么相較于懲罰性制裁,安全違規事件本身的損失反而可以忽略不計。
考慮到這一法規才剛剛生效,我們無法確切統計出究竟有多少級原本“忘記”上報問題的組織開始積極地公布違規事件。然而,根據國際律師事務所DLAPiper上公布的近60000起數字來看,由此引發的影響已然可見一斑。
迄今為止數額最大的罰款當數幾周之前指向谷歌的制裁結果,總數字為5000萬歐元(折合5700萬美元,目前其正在尋求上訴)。很明顯,這樣的數字對于谷歌這家年收入超過1100億美元的企業而言實際是太低——無論如何計算,也遠遠達不到全球收入4%的水平。除此之外,監管機構實際只征收了91筆罰款,比例還不到已上報違規活動的1%,而且其中大部分罰款數額甚至還不足2萬歐元。
但這一切有可能在不久的未來發生變化。DLAPiper事務所報告稱,“到目前為止,相較于監管機構有權做出的最高罰款比例相比,實際罰款水平一直相當低。然而,我們預計隨著監管機構對故意拖延發布GDPR數據泄露事件行為的關注,2019年年內有可能出現數千萬甚至數億歐元的罰款。”
根據其發布的報告,“監管機構的處理能力已經捉襟見肘,而且其收件箱中仍然存在著大量積壓的已通報泄露事件。因此可以想見,在對自身資源進行分配時,關注影響更大、更為重要的安全問題將成為其高優先級事務。因此,很多組織實際上是在兩難之間糾結——到底是對泄露事件進行及時上報,還是靜靜觀察監管機構到底會采取怎樣的行動,或者是否會采取行動。”
由于這項新法律才剛剛頒布不到一年,各監管機構也許還沒弄清楚哪些屬于大數據隱私問題,而哪些只是常見的小毛病。他們還有很大的完善空間,因此在順利弄清楚各類上報事件隨時間推移所對應的實際后果之前,他們并不打算輕率地征收太高或太低的罰款數額。開創先例無疑充滿風險,他們確實不應該在剛起步時就用力過猛。
歐盟委員會公布的官方泄露通報數量遠遠低于DLRPiper報告中的水平:從2018年5月25日到2019年1月28日期間,總事件上報數量為41502起。
不過這一數字僅涵蓋總計28個歐盟成員國當中的21個,挪威、冰島與列支敦士登并沒有被列入其中——這些國家雖然在政治上不屬于歐盟,但由于隸屬于歐洲經濟區(簡稱EEA),因此同樣應當受到監管。
DLAPiper公司統計出的泄露事件通報總量為59430起,其中荷蘭、德國與英國分別為15400起、12600起以及10600起成為榜上三甲。荷蘭的通報比例最高,每10萬人口中的上報安全事件為89.8起,緊隨其后的分別為愛爾蘭以及丹麥。
當然,GDPR的既定目標不僅僅在于征收罰款,而更多希望敦促收集用戶個人數據的組織能夠切實肩負起保護與保密等義務。就目前來看,我們恐怕還很難判斷這一深層次目標到底能否順利實現。