有趣的GDPR
GDPR(General Data Protection Regulation)——《通用数据保护条例》。由欧盟在2016年推出,2018年5月25日才正式生效,被称为“史上最严数据保护条例”。尽管在法律框架内,GDPR仅仅适用于欧盟各国,但实际上,任何参与到国际贸易的企业都可能会涉及到GDPR条例。此条例就是为保证用户对自己的数据具有完全的控制权。
这个条例与以往的有什么区别?如下所见:
1.用户必须可以随时查看、更改、删除下载自己的相关数据;
2.企业在收集用户数据之前必须与用户签订相关协议;
但太多公司/企业“吓得”闻风丧胆,这是怎么回事?
因为一旦受处罚后,企业要赔偿的金额数额巨大,导致企业谈G色变!大到什么程度?
违规行为轻的交1000万欧或者企业全年营收2%,行为重的交2000万或全年营收4%(哪个数额大取哪个)。
简单来说,很多公司全年的净利润基本都到不了4%。(一不留神可就是一年白干)
在条例正式实施之前,各大公司的准备工作可谓是空前高涨,内部管理、数据调整、政策改动、员工培训……
知名欧洲电话零售商(Carphone Warehouse、Currys PC World和Dixon Carphone),在2018年被爆出数据泄露事件,大约950万用户银行卡信息泄以及120万个人信息遭到泄露。
而这家倒霉公司早在2015年就已经因为泄露用户数据被罚过一次款,当时被罚了40万英镑。
而这次事件由于发生在GDPR生效之前,所以也不确定是否会根据新条例来裁定。如果按照以往的条例,罚款最多50万英镑,但若是根据GDPR规则,罚款可能高达4.2亿英镑。
GDPR作为本次事件的主角,也着实没有让人失望,在刚刚生效的第一天,就出现了“批斗”目标。
法国、比利时、德国、奥地利等国家的监管机构收到了四起诉讼,分别是针对Facebook、及其旗下的Instagram、WhatsApp,和Google的Android系统,四者被指控强迫用户共享个人数据,并且谷歌还通过系统中应用的各种功能采集用户定位数据,并且未向用户提供相关信息。
【图片来源于FreeBuf.com】
按照GDPR规则的计算,若监管机构认定诉讼成立,则谷歌的母公司Alphabet将面临最高37亿欧元的罚款,而Facebook和两家子公司也将面临共计39亿欧元的罚单。
当然,两家企业不可能就这么坐以待毙,均对指控提出了质疑和否认,认为他们当前的措施足以满足GDPR的要求。
❄被处罚的首单:
来自于2018年11月20日的一条新闻:
德国知名社交网站Knuddels因被黑客攻击从而造成了约八十万封电子邮件和超过一百八十万的用户数据泄露,其中33万封邮件得到了验证。经过调查后发现,该网站没有对密码之类的敏感信息进行任何形式的加密保护,而是直接以明文形式存储。
最终,Knuddels网站被监管机构根据GDPR条例罚款20000欧元。
是的,只罚了两万欧,没有少个零,也没有分期付。
对此官方给出的解释是:在计算问题严重程度时,需要考虑受影响的人数、问题的性质、有关诉讼、预防措施、与当地监管部门的合作、违规记录以及数据保护人员的通知行为等等诸多因素。
嗯,实施刚刚开始,似乎就引发了无休止的争论。但至少通过这则新闻,我们又知道了GDPR也是灵活多变的。
2018年:数据泄露年。
正当新法案风风火火“上任”时节,世界各地也是安全事件频发:
3月,Facebook用户8700万条数据被泄露和滥用;
3月,知名运动品牌Under Armour约1.5亿用户数据通过手机程序MyFitnessPal泄露;
5月,国泰航空因黑客攻击导致540万用户数据泄露;
8月,华住旗下多家酒店用户信息在暗网出售,总量近5亿;
8月,顺丰用户数据被挂在暗网出售,涉及3亿用户;
9月,英国航空公司38万用户数据遭到泄露;
11月,万豪酒店被曝约5亿用户数据泄露;
12月,陌陌3000万用户数据泄露并遭到售卖;
从广义上来说,过于严苛的保护条例以及高额的罚款必然会让一部分企业望而却步,就此放弃欧洲市场,这对原本就处于经济下滑期的欧盟来说也是无法承受的结果。
狭义上讲,在GDPR的实施范围内,不同国家不同地区的法律法规也各有不同,并且其条例本身也仍然存在一些争议。因此在不论是普及或是实施阶段,都将面临着不小的挑战。
【文章转载自FreeBuf.COM】