GDPR 在过去八个月里报告了 5 万 9 千个违规行为

“监管机构压力很大，收件箱里堆积了大量违规通知。”

自欧盟 GDPR 立法于 2018 年 5 月生效以来，欧盟数据保护机构已经收到了超过 5 万 9 千个数据泄露事件的报告。

这是来自全球律师事务所 DLA Piper 新报告的调查结果，其发现英国数据保护机构信息专员办公室（the Information Commissioners Offices，简称 ICO）在过去 8 个月中收到了逾 1 万个违规通知。

违规通知的严重程度从错误发送电子邮件，到最近空客遭黑客攻击等重大泄露事件。

欧盟报告违规最多的国家是荷兰，有超过 1 万 5 个违规事件；德国排在第二，有超过 1 万 2 千 500 个违规事件；英国位列第三，有 1 万零 600 个；接下来就是爱尔兰，同期报告了近 4 千起违规事件。

图片来源：DLA Piper

GDPR 违规罚款

针对新的 GDPR 法规，到目前为止只施行了 91 项罚款，因为过去一年中罚款的网络事件很多都发生在 GDPR 新规发布之前。迄今为止最大的一笔罚款是 5 千万欧元，由法国数据管理局 CNIL 向谷歌罚款，与其处理他们的用户个人信息的方式有关。

报告中提到的其他罚款包括对一家德国公司 2 千万欧元的罚款，因为其没有哈希其员工的密码，该安全问题随后导致了安全漏洞。同时，一家奥地利公司被罚款 4 千 8 百欧元，因为其在公共道路上过度使用监控摄像头。

随着监管机构和数据保护部门逐渐适应新制度，并开始花时间评估每份报告，预计目前发出的罚款通知只是一波罚款潮的开始。

DLA Piper报告指出：“监管部门压力很大，他们收到了大量违规报告。在分配资源时，不可避免地让更夺人眼球的违规事件获得优先权，因此，很多组织仍在等待来自监管部门的消息，看是否会针对他们已下发通知的有关违规采取措施。”

专注于网络和大规模调查的 DLA Piper 合伙人 Sam Millar 对该报告评论道：“监管机构已经开始通过已经实施的 91 项 GDPR 罚款来展示自身的力量，但是，对谷歌的罚款是个具有里程碑意义的时刻，之所以引人注目，部分原因是它与个人数据泄露无关。考虑到数据泄露对个人受到伤害的风险更大，我们预计，监管机构将更严厉地对待数据泄露，施以更高的罚款。随着监管机构清理积压的通知，我们预计来年会有更多罚款。”

LogRhythm 的副总裁兼欧洲、中东、非洲区域总经理 Ross Brewer 说：“重要的是企业不要满不在乎。GDPR 监管规则的实施是为了改善数据保护，并且监管机构会毫不犹豫地惩罚那些不守规则的企业。网络犯罪分子正在使用越来越复杂的战术，并日渐顽固，企业需要确保自己做好充分的准备。只有使用正确的供应商和投资于能有效跟上威胁形式的正确技术（如 NextGen SIEM；用户和实体行为分析，简称 UEBA；安全协调；自动化和响应，简称 SOAR），企业才能尽快发现并减轻威胁，避免监管机构的重罚。”

阅读英文原文：Over 59,000 GDPR Infractions Reported in the Last Eight Months：https://www.cbronline.com/news/gdpr-breach-fines