自2018年5月25日起,《通用数据保护条例》(GDPR)正式生效。根据GDPR相关要求,法国可能对个人权利和自由造成风险的个人数据侵权行为必须通知法国数据保护机构国家信息自由委员会(CNIL),并采取措施来检测安全事件,进而认定是否属于数据泄露。数据泄露是指个人数据的可用性、完整性或机密性丧失,无论是意外还是恶意行为导致。2024年3月27日,GDPR生效五年后,法国CNIL制定并发布第一份个人数据泄露量化评估报告,涵盖2018年5月至2023年5月期间通报的17,483起数据泄露事件。
主要内容如下:
一、违规行为数量不断增加
在2018年5月至2023年5月期间,CNIL共收到了17,483起数据泄露通知。这个数字并不是实际的事件数量,因为同一事件可能导致多次通知。比如服务提供商受到一次黑客攻击,并按照的GDPR规定向其客户通报,而客户又会进行自己的通报。
CNIL将同一来源的通知合并后进行统计分析,得出“向CNIL通报的数据泄露事件数量逐年增加”这一结论。但无法判断泄露事件数量的增加是因为个人数据隐私保护面临的威胁增加,还是因为数据保护参与者更好地遵守了GDPR。
二、违规行为地域分布不均
法国境内的个人数据泄露通知分布并不均匀。这些通知集中在法国中心法兰西岛地区,其次是上法兰西和奥弗涅-罗讷-阿尔卑斯地区。
但并不能根据地区分布得出有关特定威胁或趋势的相关结论。地理分布与区域经济的发达程度有关,特别是企业总部的密度。因为即使违规行为发生在地理上相距较远的分支机构,数据泄露通知也是由数据控制者发出的。
三、数据泄露通知的行业/领域分布
CNIL通报的违规行为中,约三分之二来自私营部门,其中39%来自中小企业;公共部门占通知数量的22%。
根据行业和领域进行细分,公共行政部门占18.1%,专业、科学和技术活动占14.6%,人类健康和社会福利活动占11.8%,金融和保险活动10.9%,商业、汽车和摩托车修理占9%,信息和通信活动占7.2%,制造业占4.5%,其他服务业活动占4.3%,行政和支持服务活动占4.3%,教育行业占3.6%。
但是,数据泄露通知的占比高不一定意味着遭受更多的数据泄露事件,也不一定代表对个人数据的保护程度较低。因为,某些领域存在大量的数据保护代表,此外,对GDPR的考虑和应用程度、数据保护方面的拨款等都会对数据泄露通知数量产生影响。检测和处理能力的提升也会在事实上导致数据泄露通知数量的增加。
四、数据泄露的原因
关于数据泄露的根源,根据2018年至今的数据分析得出的结论,与GDPR实施4个月后的阶段性评估以及CNIL年度报告中发布的中期评估中的结论一致。
超过一半的数据泄露源自黑客攻击,其中勒索软件排名第一,其次是网络钓鱼攻击。分析表明,公共部门更容易受到网络钓鱼的影响,而私营部门则更容易受到勒索软件的影响。设备丢失或被盗、误发和无意发布是数据泄露的其他最常见来源。
目前,数据泄露正在出现两大主要趋势:一是恶意第三方的黑客攻击和故意盗窃;二是数据控制者内部的一个或多个人员的无意错误。
五、数据泄露通知
根据GDPR第33.1条,如果发生个人数据泄露,数据控制者应尽快(如果可能的话)在发现(尽管一半的违规行为是在不到10小时内被发现的,但组织发现违规行为的平均时间为113天,因为有的违规行为需要几个月甚至几年的时间才能被发现)此事后72小时内向主管监管机构通知相关违规行为;未在72小时内向监管机构发出通知的,则必须附有延迟的原因。
有一半的通知是在这个时间范围内发出的,75%的违规行为在11天内得到通知。延迟通报的主要原因包括:一是对于法国数据保护委员会(CNIL)通报义务的不了解,申报人可能在提交投诉或与其网络安全保障公司取得联系时才了解到这一义务;二是机构希望等到具体证据和专家调查结果出现后再采取行动。
从CNIL的角度来看,最好在72小时内通报违规行为,即使只能提供部分信息,之后还可以补充相关信息;如果违规行为未被证实,可以删除信息。
无正当理由,未在72小时内履行通知义务的,构成违反GDPR行为的,可能会受到CNIL的处罚。此类违规行为将被处以1000万欧元或公司年营业额2%的罚款。如果数据控制者对违规行为的管理存在故意疏忽或有意隐瞒等情形,CNIL将对其采取相关制裁措施。
六、防止数据泄露的重要步骤
CNIL回顾说,为了防止导致个人数据泄露的违规事件,以下几点至关重要:一是从项目启动开始就考虑安全性;二是系统地采取保障数据安全的必要措施;三是定期对操作系统、应用程序服务器或数据库进行安全更新;四是定期向员工通报网络安全风险和问题。
