并不是没有人预见到它的到来。毕竟现行的《欧盟通用数据保护条例》是自 2012 年以来一直在公众监督下制定的,并于 2018 年 5 月起全面生效。但该条例的的实施情况还存在一定的不确定性,尤其是在跨国公司中。
从本质上讲,GDPR 要求企业和国家的个人数据看管人保护这些信息,以保护欧洲公民的隐私,并禁止向该区域以外的国家流出个人数据。根据该协议,违规行为可能会导致高达组织机构年收入 4% 的罚款。
在新法律生效之前,人们普遍为潜在罚款的数额哀嚎。在新规定实施的第一年,GDPR 也确实对一些违规者进行了惩罚。这些被点名的企业被处以总计 5600 万美元的罚款。这不是一个小数目,但是对于数十亿美元的公司来说,这是一笔相对较小的经营成本。因此,尽管 GDPR 确实规定了巨额罚款,但根据其第一年实行情况,很多企业还是会认为罚款金额仍然会保持相对较低。
随后在 2014 年就发生了喜达屋酒店及度假酒店国际集团 (Starwood Hotels & Resorts) 泄密事件,此次事件导致了包括密码、支付卡号和其他个人身份信息在内的客户数据大量丢失。万豪于 2016 年收购喜达屋时可能并不知道此事,也没有完全理解此次事件的重要性。但是万豪在 2018 年因为该事件被罚款 1.24 亿美元——约占该组织年收入的 2%——对这家全球酒店经营者来说无疑是一记警钟。
这也为其他考虑并购的企业敲响了警钟。万豪在收购喜达屋时显然获得了超出预期的回报,这对其资产负债表产生了重大影响。万豪最初认为的竞争优势,现在除了损害了自己在潜在客户中的声誉外,还变成了财务负担。如果不评估收购目标持有的敏感数据所面临的网络风险——也不确认围绕这些数据是否具备强大的检测和响应能力——那么,其妥协伴随着责任就会成为交易中不受欢迎的一部分。
在 2017 年也发生过类似的事情,当时雅虎的数据遭到两次大规模泄露,而该公司即将被 Verizon 收购。结果,收购条款突然发生了变化。Verizon 最终支付的价格比最初的报价低 3.5 亿美元。除此之外,两家公司还同意共同承担约 15 亿被黑账户所带来的法律和监管责任。
今年对万豪的罚款也打破了人们在欧洲另一个普遍持有的观点。根据以往处理涉及个人信息问题的经验,一旦 GDPR 到位,社交媒体巨头如 Facebook 和谷歌等将成为其主要目标。尽管监管机构仍对社交媒体特别关注,但喜达屋事件表明,发生潜在不法行为的范围也扩展到了其他类型的企业。
但是 GDPR 并没有建立一支网络警察队伍来搜寻违规行为。相反,该协议的一个关键组成部分涉及违规行为的自我报告。有关机构须在知悉此类数据泄露后的 72 小时内,向监管机构及受影响人士报告个人资料外泄情况。可报告的违规行为可能小到无意中密件抄送了某人,也可能大到在线暴露了详细客户数据库。信息保障和隐私从业者 (Information Assurance and Privacy Practitioners, IAPP) 最近发布了一份关于 GDPR 第一年情况的研究报告。2018 年 5 月至 2019 年 2 月,欧盟及其伙伴国家的监管机构共收到约 5.9 万份违规通知;其中 91 个违规行为被罚款,大部分数额相对较小。然而很多观察者认为,实际的违规数量可能更大,其中很多可能涉及上千甚至上百万份文件的泄露。
并非只有欧洲在致力于保护个人数据。虽然国家立法可能受到党派壁垒的影响,但美国联邦贸易委员会 (Federal Trade Commission) 最近批准对 Facebook 处以 50 亿美元罚款,原因是该公司对用户个人信息处理不当。新加坡有自己的个人数据保护法,类似于 GDPR。澳大利亚有自己的隐私原则。甚至南非也有详细的隐私协议。
但是,尽管全世界在保护个人数据和优先考虑第三方风险管理方面取得了进展,但在信息所有权上仍然存在重大文化差异。例如在美国,很多在欧洲受限制的数据都是被公开收集和自由交换的。对于总部在美国、客户和文件分布在很多不同国家的公司来说,协调冲突和法律可能在未来几年仍将是一个令人头疼的问题。
相关阅读
