自2018年5月25日起，《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效。根據(jù)GDPR相關(guān)要求，法國可能對個人權(quán)利和自由造成風(fēng)險的個人數(shù)據(jù)侵權(quán)行為必須通知法國數(shù)據(jù)保護(hù)機構(gòu)國家信息自由委員會（CNIL），并采取措施來檢測安全事件，進(jìn)而認(rèn)定是否屬于數(shù)據(jù)泄露。數(shù)據(jù)泄露是指個人數(shù)據(jù)的可用性、完整性或機密性喪失，無論是意外還是惡意行為導(dǎo)致。2024年3月27日，GDPR生效五年后，法國CNIL制定并發(fā)布第一份個人數(shù)據(jù)泄露量化評估報告，涵蓋2018年5月至2023年5月期間通報的17,483起數(shù)據(jù)泄露事件。

主要內(nèi)容如下：

一、違規(guī)行為數(shù)量不斷增加

在2018年5月至2023年5月期間，CNIL共收到了17,483起數(shù)據(jù)泄露通知。這個數(shù)字并不是實際的事件數(shù)量，因為同一事件可能導(dǎo)致多次通知。比如服務(wù)提供商受到一次黑客攻擊，并按照的GDPR規(guī)定向其客戶通報，而客戶又會進(jìn)行自己的通報。

CNIL將同一來源的通知合并后進(jìn)行統(tǒng)計分析，得出“向CNIL通報的數(shù)據(jù)泄露事件數(shù)量逐年增加”這一結(jié)論。但無法判斷泄露事件數(shù)量的增加是因為個人數(shù)據(jù)隱私保護(hù)面臨的威脅增加，還是因為數(shù)據(jù)保護(hù)參與者更好地遵守了GDPR。

法國境內(nèi)的個人數(shù)據(jù)泄露通知分布并不均勻。這些通知集中在法國中心法蘭西島地區(qū)，其次是上法蘭西和奧弗涅-羅訥-阿爾卑斯地區(qū)。

但并不能根據(jù)地區(qū)分布得出有關(guān)特定威脅或趨勢的相關(guān)結(jié)論。地理分布與區(qū)域經(jīng)濟的發(fā)達(dá)程度有關(guān)，特別是企業(yè)總部的密度。因為即使違規(guī)行為發(fā)生在地理上相距較遠(yuǎn)的分支機構(gòu)，數(shù)據(jù)泄露通知也是由數(shù)據(jù)控制者發(fā)出的。

CNIL通報的違規(guī)行為中，約三分之二來自私營部門，其中39%來自中小企業(yè)；公共部門占通知數(shù)量的22%。

根據(jù)行業(yè)和領(lǐng)域進(jìn)行細(xì)分，公共行政部門占18.1%，專業(yè)、科學(xué)和技術(shù)活動占14.6%，人類健康和社會福利活動占11.8%，金融和保險活動10.9%，商業(yè)、汽車和摩托車修理占9%，信息和通信活動占7.2%，制造業(yè)占4.5%，其他服務(wù)業(yè)活動占4.3%，行政和支持服務(wù)活動占4.3%，教育行業(yè)占3.6%。

但是，數(shù)據(jù)泄露通知的占比高不一定意味著遭受更多的數(shù)據(jù)泄露事件，也不一定代表對個人數(shù)據(jù)的保護(hù)程度較低。因為，某些領(lǐng)域存在大量的數(shù)據(jù)保護(hù)代表，此外，對GDPR的考慮和應(yīng)用程度、數(shù)據(jù)保護(hù)方面的撥款等都會對數(shù)據(jù)泄露通知數(shù)量產(chǎn)生影響。檢測和處理能力的提升也會在事實上導(dǎo)致數(shù)據(jù)泄露通知數(shù)量的增加。

關(guān)于數(shù)據(jù)泄露的根源，根據(jù)2018年至今的數(shù)據(jù)分析得出的結(jié)論，與GDPR實施4個月后的階段性評估以及CNIL年度報告中發(fā)布的中期評估中的結(jié)論一致。

超過一半的數(shù)據(jù)泄露源自黑客攻擊，其中勒索軟件排名第一，其次是網(wǎng)絡(luò)釣魚攻擊。分析表明，公共部門更容易受到網(wǎng)絡(luò)釣魚的影響，而私營部門則更容易受到勒索軟件的影響。設(shè)備丟失或被盜、誤發(fā)和無意發(fā)布是數(shù)據(jù)泄露的其他最常見來源。

目前，數(shù)據(jù)泄露正在出現(xiàn)兩大主要趨勢：一是惡意第三方的黑客攻擊和故意盜竊；二是數(shù)據(jù)控制者內(nèi)部的一個或多個人員的無意錯誤。

根據(jù)GDPR第33.1條，如果發(fā)生個人數(shù)據(jù)泄露，數(shù)據(jù)控制者應(yīng)盡快（如果可能的話）在發(fā)現(xiàn)（盡管一半的違規(guī)行為是在不到10小時內(nèi)被發(fā)現(xiàn)的，但組織發(fā)現(xiàn)違規(guī)行為的平均時間為113天，因為有的違規(guī)行為需要幾個月甚至幾年的時間才能被發(fā)現(xiàn)）此事后72小時內(nèi)向主管監(jiān)管機構(gòu)通知相關(guān)違規(guī)行為；未在72小時內(nèi)向監(jiān)管機構(gòu)發(fā)出通知的，則必須附有延遲的原因。

有一半的通知是在這個時間范圍內(nèi)發(fā)出的，75%的違規(guī)行為在11天內(nèi)得到通知。延遲通報的主要原因包括：一是對于法國數(shù)據(jù)保護(hù)委員會（CNIL）通報義務(wù)的不了解，申報人可能在提交投訴或與其網(wǎng)絡(luò)安全保障公司取得聯(lián)系時才了解到這一義務(wù)；二是機構(gòu)希望等到具體證據(jù)和專家調(diào)查結(jié)果出現(xiàn)后再采取行動。

從CNIL的角度來看，最好在72小時內(nèi)通報違規(guī)行為，即使只能提供部分信息，之后還可以補充相關(guān)信息；如果違規(guī)行為未被證實，可以刪除信息。

無正當(dāng)理由，未在72小時內(nèi)履行通知義務(wù)的，構(gòu)成違反GDPR行為的，可能會受到CNIL的處罰。此類違規(guī)行為將被處以1000萬歐元或公司年營業(yè)額2%的罰款。如果數(shù)據(jù)控制者對違規(guī)行為的管理存在故意疏忽或有意隱瞞等情形，CNIL將對其采取相關(guān)制裁措施。

CNIL回顧說，為了防止導(dǎo)致個人數(shù)據(jù)泄露的違規(guī)事件，以下幾點至關(guān)重要：一是從項目啟動開始就考慮安全性；二是系統(tǒng)地采取保障數(shù)據(jù)安全的必要措施；三是定期對操作系統(tǒng)、應(yīng)用程序服務(wù)器或數(shù)據(jù)庫進(jìn)行安全更新；四是定期向員工通報網(wǎng)絡(luò)安全風(fēng)險和問題。

參考文獻(xiàn)：