自2018年5月25日起,，《通用數(shù)據(jù)保護條例》（GDPR）正式生效,。根據(jù)GDPR相關(guān)要求，法國可能對個人權(quán)利和自由造成風(fēng)險的個人數(shù)據(jù)侵權(quán)行為必須通知法國數(shù)據(jù)保護機構(gòu)國家信息自由委員會（CNIL）,，并采取措施來檢測安全事件,，進而認(rèn)定是否屬于數(shù)據(jù)泄露,。數(shù)據(jù)泄露是指個人數(shù)據(jù)的可用性、完整性或機密性喪失,，無論是意外還是惡意行為導(dǎo)致,。2024年3月27日，GDPR生效五年后,，法國CNIL制定并發(fā)布第一份個人數(shù)據(jù)泄露量化評估報告,，涵蓋2018年5月至2023年5月期間通報的17,483起數(shù)據(jù)泄露事件。

主要內(nèi)容如下：

一,、違規(guī)行為數(shù)量不斷增加

在2018年5月至2023年5月期間,，CNIL共收到了17,483起數(shù)據(jù)泄露通知。這個數(shù)字并不是實際的事件數(shù)量,，因為同一事件可能導(dǎo)致多次通知,。比如服務(wù)提供商受到一次黑客攻擊，并按照的GDPR規(guī)定向其客戶通報,，而客戶又會進行自己的通報,。

CNIL將同一來源的通知合并后進行統(tǒng)計分析，得出“向CNIL通報的數(shù)據(jù)泄露事件數(shù)量逐年增加”這一結(jié)論,。但無法判斷泄露事件數(shù)量的增加是因為個人數(shù)據(jù)隱私保護面臨的威脅增加，還是因為數(shù)據(jù)保護參與者更好地遵守了GDPR,。

法國境內(nèi)的個人數(shù)據(jù)泄露通知分布并不均勻。這些通知集中在法國中心法蘭西島地區(qū),，其次是上法蘭西和奧弗涅-羅訥-阿爾卑斯地區(qū),。

但并不能根據(jù)地區(qū)分布得出有關(guān)特定威脅或趨勢的相關(guān)結(jié)論。地理分布與區(qū)域經(jīng)濟的發(fā)達(dá)程度有關(guān),，特別是企業(yè)總部的密度,。因為即使違規(guī)行為發(fā)生在地理上相距較遠(yuǎn)的分支機構(gòu),，數(shù)據(jù)泄露通知也是由數(shù)據(jù)控制者發(fā)出的。

CNIL通報的違規(guī)行為中,，約三分之二來自私營部門，其中39%來自中小企業(yè),；公共部門占通知數(shù)量的22%,。

根據(jù)行業(yè)和領(lǐng)域進行細(xì)分，公共行政部門占18.1%,，專業(yè),、科學(xué)和技術(shù)活動占14.6%，人類健康和社會福利活動占11.8%,，金融和保險活動10.9%,，商業(yè)、汽車和摩托車修理占9%,，信息和通信活動占7.2%,，制造業(yè)占4.5%，其他服務(wù)業(yè)活動占4.3%,，行政和支持服務(wù)活動占4.3%,，教育行業(yè)占3.6%。

但是,，數(shù)據(jù)泄露通知的占比高不一定意味著遭受更多的數(shù)據(jù)泄露事件,，也不一定代表對個人數(shù)據(jù)的保護程度較低。因為,，某些領(lǐng)域存在大量的數(shù)據(jù)保護代表,，此外，對GDPR的考慮和應(yīng)用程度,、數(shù)據(jù)保護方面的撥款等都會對數(shù)據(jù)泄露通知數(shù)量產(chǎn)生影響,。檢測和處理能力的提升也會在事實上導(dǎo)致數(shù)據(jù)泄露通知數(shù)量的增加。

關(guān)于數(shù)據(jù)泄露的根源,，根據(jù)2018年至今的數(shù)據(jù)分析得出的結(jié)論，與GDPR實施4個月后的階段性評估以及CNIL年度報告中發(fā)布的中期評估中的結(jié)論一致,。

超過一半的數(shù)據(jù)泄露源自黑客攻擊,，其中勒索軟件排名第一，其次是網(wǎng)絡(luò)釣魚攻擊,。分析表明,，公共部門更容易受到網(wǎng)絡(luò)釣魚的影響，而私營部門則更容易受到勒索軟件的影響。設(shè)備丟失或被盜,、誤發(fā)和無意發(fā)布是數(shù)據(jù)泄露的其他最常見來源,。

目前，數(shù)據(jù)泄露正在出現(xiàn)兩大主要趨勢：一是惡意第三方的黑客攻擊和故意盜竊,；二是數(shù)據(jù)控制者內(nèi)部的一個或多個人員的無意錯誤,。

根據(jù)GDPR第33.1條,，如果發(fā)生個人數(shù)據(jù)泄露,，數(shù)據(jù)控制者應(yīng)盡快（如果可能的話）在發(fā)現(xiàn)（盡管一半的違規(guī)行為是在不到10小時內(nèi)被發(fā)現(xiàn)的，但組織發(fā)現(xiàn)違規(guī)行為的平均時間為113天,，因為有的違規(guī)行為需要幾個月甚至幾年的時間才能被發(fā)現(xiàn)）此事后72小時內(nèi)向主管監(jiān)管機構(gòu)通知相關(guān)違規(guī)行為,；未在72小時內(nèi)向監(jiān)管機構(gòu)發(fā)出通知的，則必須附有延遲的原因,。

有一半的通知是在這個時間范圍內(nèi)發(fā)出的,，75%的違規(guī)行為在11天內(nèi)得到通知。延遲通報的主要原因包括：一是對于法國數(shù)據(jù)保護委員會（CNIL）通報義務(wù)的不了解,，申報人可能在提交投訴或與其網(wǎng)絡(luò)安全保障公司取得聯(lián)系時才了解到這一義務(wù),；二是機構(gòu)希望等到具體證據(jù)和專家調(diào)查結(jié)果出現(xiàn)后再采取行動。

從CNIL的角度來看,，最好在72小時內(nèi)通報違規(guī)行為,，即使只能提供部分信息，之后還可以補充相關(guān)信息,；如果違規(guī)行為未被證實,，可以刪除信息。

無正當(dāng)理由,，未在72小時內(nèi)履行通知義務(wù)的,，構(gòu)成違反GDPR行為的，可能會受到CNIL的處罰,。此類違規(guī)行為將被處以1000萬歐元或公司年營業(yè)額2%的罰款,。如果數(shù)據(jù)控制者對違規(guī)行為的管理存在故意疏忽或有意隱瞞等情形，CNIL將對其采取相關(guān)制裁措施,。

CNIL回顧說，為了防止導(dǎo)致個人數(shù)據(jù)泄露的違規(guī)事件,，以下幾點至關(guān)重要：一是從項目啟動開始就考慮安全性,；二是系統(tǒng)地采取保障數(shù)據(jù)安全的必要措施；三是定期對操作系統(tǒng),、應(yīng)用程序服務(wù)器或數(shù)據(jù)庫進行安全更新；四是定期向員工通報網(wǎng)絡(luò)安全風(fēng)險和問題。

參考文獻：