自2018年5月25日起，《通用數(shù)據保護條例》（GDPR）正式生效。根據GDPR相關要求，法國可能對個人權利和自由造成風險的個人數(shù)據侵權行為必須通知法國數(shù)據保護機構國家信息自由委員會（CNIL），并采取措施來檢測安全事件，進而認定是否屬于數(shù)據泄露。數(shù)據泄露是指個人數(shù)據的可用性、完整性或機密性喪失，無論是意外還是惡意行為導致。2024年3月27日，GDPR生效五年后，法國CNIL制定并發(fā)布第一份個人數(shù)據泄露量化評估報告，涵蓋2018年5月至2023年5月期間通報的17,483起數(shù)據泄露事件。

主要內容如下：

一、違規(guī)行為數(shù)量不斷增加

在2018年5月至2023年5月期間，CNIL共收到了17,483起數(shù)據泄露通知。這個數(shù)字并不是實際的事件數(shù)量，因為同一事件可能導致多次通知。比如服務提供商受到一次黑客攻擊，并按照的GDPR規(guī)定向其客戶通報，而客戶又會進行自己的通報。

CNIL將同一來源的通知合并后進行統(tǒng)計分析，得出“向CNIL通報的數(shù)據泄露事件數(shù)量逐年增加”這一結論。但無法判斷泄露事件數(shù)量的增加是因為個人數(shù)據隱私保護面臨的威脅增加，還是因為數(shù)據保護參與者更好地遵守了GDPR。

法國境內的個人數(shù)據泄露通知分布并不均勻。這些通知集中在法國中心法蘭西島地區(qū)，其次是上法蘭西和奧弗涅-羅訥-阿爾卑斯地區(qū)。

但并不能根據地區(qū)分布得出有關特定威脅或趨勢的相關結論。地理分布與區(qū)域經濟的發(fā)達程度有關，特別是企業(yè)總部的密度。因為即使違規(guī)行為發(fā)生在地理上相距較遠的分支機構，數(shù)據泄露通知也是由數(shù)據控制者發(fā)出的。

CNIL通報的違規(guī)行為中，約三分之二來自私營部門，其中39%來自中小企業(yè)；公共部門占通知數(shù)量的22%。

根據行業(yè)和領域進行細分，公共行政部門占18.1%，專業(yè)、科學和技術活動占14.6%，人類健康和社會福利活動占11.8%，金融和保險活動10.9%，商業(yè)、汽車和摩托車修理占9%，信息和通信活動占7.2%，制造業(yè)占4.5%，其他服務業(yè)活動占4.3%，行政和支持服務活動占4.3%，教育行業(yè)占3.6%。

但是，數(shù)據泄露通知的占比高不一定意味著遭受更多的數(shù)據泄露事件，也不一定代表對個人數(shù)據的保護程度較低。因為，某些領域存在大量的數(shù)據保護代表，此外，對GDPR的考慮和應用程度、數(shù)據保護方面的撥款等都會對數(shù)據泄露通知數(shù)量產生影響。檢測和處理能力的提升也會在事實上導致數(shù)據泄露通知數(shù)量的增加。

關于數(shù)據泄露的根源，根據2018年至今的數(shù)據分析得出的結論，與GDPR實施4個月后的階段性評估以及CNIL年度報告中發(fā)布的中期評估中的結論一致。

超過一半的數(shù)據泄露源自黑客攻擊，其中勒索軟件排名第一，其次是網絡釣魚攻擊。分析表明，公共部門更容易受到網絡釣魚的影響，而私營部門則更容易受到勒索軟件的影響。設備丟失或被盜、誤發(fā)和無意發(fā)布是數(shù)據泄露的其他最常見來源。

目前，數(shù)據泄露正在出現(xiàn)兩大主要趨勢：一是惡意第三方的黑客攻擊和故意盜竊；二是數(shù)據控制者內部的一個或多個人員的無意錯誤。

根據GDPR第33.1條，如果發(fā)生個人數(shù)據泄露，數(shù)據控制者應盡快（如果可能的話）在發(fā)現(xiàn)（盡管一半的違規(guī)行為是在不到10小時內被發(fā)現(xiàn)的，但組織發(fā)現(xiàn)違規(guī)行為的平均時間為113天，因為有的違規(guī)行為需要幾個月甚至幾年的時間才能被發(fā)現(xiàn)）此事后72小時內向主管監(jiān)管機構通知相關違規(guī)行為；未在72小時內向監(jiān)管機構發(fā)出通知的，則必須附有延遲的原因。

有一半的通知是在這個時間范圍內發(fā)出的，75%的違規(guī)行為在11天內得到通知。延遲通報的主要原因包括：一是對于法國數(shù)據保護委員會（CNIL）通報義務的不了解，申報人可能在提交投訴或與其網絡安全保障公司取得聯(lián)系時才了解到這一義務；二是機構希望等到具體證據和專家調查結果出現(xiàn)后再采取行動。

從CNIL的角度來看，最好在72小時內通報違規(guī)行為，即使只能提供部分信息，之后還可以補充相關信息；如果違規(guī)行為未被證實，可以刪除信息。

無正當理由，未在72小時內履行通知義務的，構成違反GDPR行為的，可能會受到CNIL的處罰。此類違規(guī)行為將被處以1000萬歐元或公司年營業(yè)額2%的罰款。如果數(shù)據控制者對違規(guī)行為的管理存在故意疏忽或有意隱瞞等情形，CNIL將對其采取相關制裁措施。

CNIL回顧說，為了防止導致個人數(shù)據泄露的違規(guī)事件，以下幾點至關重要：一是從項目啟動開始就考慮安全性；二是系統(tǒng)地采取保障數(shù)據安全的必要措施；三是定期對操作系統(tǒng)、應用程序服務器或數(shù)據庫進行安全更新；四是定期向員工通報網絡安全風險和問題。

參考文獻：