自2018年5月25日起，《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效。根據(jù)GDPR相關(guān)要求，法國可能對(duì)個(gè)人權(quán)利和自由造成風(fēng)險(xiǎn)的個(gè)人數(shù)據(jù)侵權(quán)行為必須通知法國數(shù)據(jù)保護(hù)機(jī)構(gòu)國家信息自由委員會(huì)（CNIL），并采取措施來檢測(cè)安全事件，進(jìn)而認(rèn)定是否屬于數(shù)據(jù)泄露。數(shù)據(jù)泄露是指?jìng)€(gè)人數(shù)據(jù)的可用性、完整性或機(jī)密性喪失，無論是意外還是惡意行為導(dǎo)致。2024年3月27日，GDPR生效五年后，法國CNIL制定并發(fā)布第一份個(gè)人數(shù)據(jù)泄露量化評(píng)估報(bào)告，涵蓋2018年5月至2023年5月期間通報(bào)的17,483起數(shù)據(jù)泄露事件。

主要內(nèi)容如下：

一、違規(guī)行為數(shù)量不斷增加

在2018年5月至2023年5月期間，CNIL共收到了17,483起數(shù)據(jù)泄露通知。這個(gè)數(shù)字并不是實(shí)際的事件數(shù)量，因?yàn)橥皇录赡軐?dǎo)致多次通知。比如服務(wù)提供商受到一次黑客攻擊，并按照的GDPR規(guī)定向其客戶通報(bào)，而客戶又會(huì)進(jìn)行自己的通報(bào)。

CNIL將同一來源的通知合并后進(jìn)行統(tǒng)計(jì)分析，得出“向CNIL通報(bào)的數(shù)據(jù)泄露事件數(shù)量逐年增加”這一結(jié)論。但無法判斷泄露事件數(shù)量的增加是因?yàn)閭€(gè)人數(shù)據(jù)隱私保護(hù)面臨的威脅增加，還是因?yàn)閿?shù)據(jù)保護(hù)參與者更好地遵守了GDPR。

法國境內(nèi)的個(gè)人數(shù)據(jù)泄露通知分布并不均勻。這些通知集中在法國中心法蘭西島地區(qū)，其次是上法蘭西和奧弗涅-羅訥-阿爾卑斯地區(qū)。

但并不能根據(jù)地區(qū)分布得出有關(guān)特定威脅或趨勢(shì)的相關(guān)結(jié)論。地理分布與區(qū)域經(jīng)濟(jì)的發(fā)達(dá)程度有關(guān)，特別是企業(yè)總部的密度。因?yàn)榧词惯`規(guī)行為發(fā)生在地理上相距較遠(yuǎn)的分支機(jī)構(gòu)，數(shù)據(jù)泄露通知也是由數(shù)據(jù)控制者發(fā)出的。

CNIL通報(bào)的違規(guī)行為中，約三分之二來自私營(yíng)部門，其中39%來自中小企業(yè)；公共部門占通知數(shù)量的22%。

根據(jù)行業(yè)和領(lǐng)域進(jìn)行細(xì)分，公共行政部門占18.1%，專業(yè)、科學(xué)和技術(shù)活動(dòng)占14.6%，人類健康和社會(huì)福利活動(dòng)占11.8%，金融和保險(xiǎn)活動(dòng)10.9%，商業(yè)、汽車和摩托車修理占9%，信息和通信活動(dòng)占7.2%，制造業(yè)占4.5%，其他服務(wù)業(yè)活動(dòng)占4.3%，行政和支持服務(wù)活動(dòng)占4.3%，教育行業(yè)占3.6%。

但是，數(shù)據(jù)泄露通知的占比高不一定意味著遭受更多的數(shù)據(jù)泄露事件，也不一定代表對(duì)個(gè)人數(shù)據(jù)的保護(hù)程度較低。因?yàn)椋承╊I(lǐng)域存在大量的數(shù)據(jù)保護(hù)代表，此外，對(duì)GDPR的考慮和應(yīng)用程度、數(shù)據(jù)保護(hù)方面的撥款等都會(huì)對(duì)數(shù)據(jù)泄露通知數(shù)量產(chǎn)生影響。檢測(cè)和處理能力的提升也會(huì)在事實(shí)上導(dǎo)致數(shù)據(jù)泄露通知數(shù)量的增加。

關(guān)于數(shù)據(jù)泄露的根源，根據(jù)2018年至今的數(shù)據(jù)分析得出的結(jié)論，與GDPR實(shí)施4個(gè)月后的階段性評(píng)估以及CNIL年度報(bào)告中發(fā)布的中期評(píng)估中的結(jié)論一致。

超過一半的數(shù)據(jù)泄露源自黑客攻擊，其中勒索軟件排名第一，其次是網(wǎng)絡(luò)釣魚攻擊。分析表明，公共部門更容易受到網(wǎng)絡(luò)釣魚的影響，而私營(yíng)部門則更容易受到勒索軟件的影響。設(shè)備丟失或被盜、誤發(fā)和無意發(fā)布是數(shù)據(jù)泄露的其他最常見來源。

目前，數(shù)據(jù)泄露正在出現(xiàn)兩大主要趨勢(shì)：一是惡意第三方的黑客攻擊和故意盜竊；二是數(shù)據(jù)控制者內(nèi)部的一個(gè)或多個(gè)人員的無意錯(cuò)誤。

根據(jù)GDPR第33.1條，如果發(fā)生個(gè)人數(shù)據(jù)泄露，數(shù)據(jù)控制者應(yīng)盡快（如果可能的話）在發(fā)現(xiàn)（盡管一半的違規(guī)行為是在不到10小時(shí)內(nèi)被發(fā)現(xiàn)的，但組織發(fā)現(xiàn)違規(guī)行為的平均時(shí)間為113天，因?yàn)橛械倪`規(guī)行為需要幾個(gè)月甚至幾年的時(shí)間才能被發(fā)現(xiàn)）此事后72小時(shí)內(nèi)向主管監(jiān)管機(jī)構(gòu)通知相關(guān)違規(guī)行為；未在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)發(fā)出通知的，則必須附有延遲的原因。

有一半的通知是在這個(gè)時(shí)間范圍內(nèi)發(fā)出的，75%的違規(guī)行為在11天內(nèi)得到通知。延遲通報(bào)的主要原因包括：一是對(duì)于法國數(shù)據(jù)保護(hù)委員會(huì)（CNIL）通報(bào)義務(wù)的不了解，申報(bào)人可能在提交投訴或與其網(wǎng)絡(luò)安全保障公司取得聯(lián)系時(shí)才了解到這一義務(wù)；二是機(jī)構(gòu)希望等到具體證據(jù)和專家調(diào)查結(jié)果出現(xiàn)后再采取行動(dòng)。

從CNIL的角度來看，最好在72小時(shí)內(nèi)通報(bào)違規(guī)行為，即使只能提供部分信息，之后還可以補(bǔ)充相關(guān)信息；如果違規(guī)行為未被證實(shí)，可以刪除信息。

無正當(dāng)理由，未在72小時(shí)內(nèi)履行通知義務(wù)的，構(gòu)成違反GDPR行為的，可能會(huì)受到CNIL的處罰。此類違規(guī)行為將被處以1000萬歐元或公司年?duì)I業(yè)額2%的罰款。如果數(shù)據(jù)控制者對(duì)違規(guī)行為的管理存在故意疏忽或有意隱瞞等情形，CNIL將對(duì)其采取相關(guān)制裁措施。

CNIL回顧說，為了防止導(dǎo)致個(gè)人數(shù)據(jù)泄露的違規(guī)事件，以下幾點(diǎn)至關(guān)重要：一是從項(xiàng)目啟動(dòng)開始就考慮安全性；二是系統(tǒng)地采取保障數(shù)據(jù)安全的必要措施；三是定期對(duì)操作系統(tǒng)、應(yīng)用程序服務(wù)器或數(shù)據(jù)庫進(jìn)行安全更新；四是定期向員工通報(bào)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和問題。

參考文獻(xiàn)：