并不是沒有人預見到它的到來。畢竟現(xiàn)行的《歐盟通用數(shù)據(jù)保護條例》是自 2012 年以來一直在公眾監(jiān)督下制定的，并于 2018 年 5 月起全面生效。但該條例的的實施情況還存在一定的不確定性，尤其是在跨國公司中。

[[278133]]

從本質(zhì)上講，GDPR 要求企業(yè)和國家的個人數(shù)據(jù)看管人保護這些信息，以保護歐洲公民的隱私，并禁止向該區(qū)域以外的國家流出個人數(shù)據(jù)。根據(jù)該協(xié)議，違規(guī)行為可能會導致高達組織機構(gòu)年收入 4% 的罰款。

在新法律生效之前，人們普遍為潛在罰款的數(shù)額哀嚎。在新規(guī)定實施的第一年，GDPR 也確實對一些違規(guī)者進行了懲罰。這些被點名的企業(yè)被處以總計 5600 萬美元的罰款。這不是一個小數(shù)目，但是對于數(shù)十億美元的公司來說，這是一筆相對較小的經(jīng)營成本。因此，盡管 GDPR 確實規(guī)定了巨額罰款，但根據(jù)其第一年實行情況，很多企業(yè)還是會認為罰款金額仍然會保持相對較低。

隨后在 2014 年就發(fā)生了喜達屋酒店及度假酒店國際集團 (Starwood Hotels & Resorts) 泄密事件，此次事件導致了包括密碼、支付卡號和其他個人身份信息在內(nèi)的客戶數(shù)據(jù)大量丟失。萬豪于 2016 年收購喜達屋時可能并不知道此事，也沒有完全理解此次事件的重要性。但是萬豪在 2018 年因為該事件被罰款 1.24 億美元——約占該組織年收入的 2%——對這家全球酒店經(jīng)營者來說無疑是一記警鐘。

這也為其他考慮并購的企業(yè)敲響了警鐘。萬豪在收購喜達屋時顯然獲得了超出預期的回報，這對其資產(chǎn)負債表產(chǎn)生了重大影響。萬豪最初認為的競爭優(yōu)勢，現(xiàn)在除了損害了自己在潛在客戶中的聲譽外，還變成了財務負擔。如果不評估收購目標持有的敏感數(shù)據(jù)所面臨的網(wǎng)絡風險——也不確認圍繞這些數(shù)據(jù)是否具備強大的檢測和響應能力——那么，其妥協(xié)伴隨著責任就會成為交易中不受歡迎的一部分。

在 2017 年也發(fā)生過類似的事情，當時雅虎的數(shù)據(jù)遭到兩次大規(guī)模泄露，而該公司即將被 Verizon 收購。結(jié)果，收購條款突然發(fā)生了變化。Verizon 最終支付的價格比最初的報價低 3.5 億美元。除此之外，兩家公司還同意共同承擔約 15 億被黑賬戶所帶來的法律和監(jiān)管責任。

今年對萬豪的罰款也打破了人們在歐洲另一個普遍持有的觀點。根據(jù)以往處理涉及個人信息問題的經(jīng)驗，一旦 GDPR 到位，社交媒體巨頭如 Facebook 和谷歌等將成為其主要目標。盡管監(jiān)管機構(gòu)仍對社交媒體特別關(guān)注，但喜達屋事件表明，發(fā)生潛在不法行為的范圍也擴展到了其他類型的企業(yè)。

但是 GDPR 并沒有建立一支網(wǎng)絡警察隊伍來搜尋違規(guī)行為。相反，該協(xié)議的一個關(guān)鍵組成部分涉及違規(guī)行為的自我報告。有關(guān)機構(gòu)須在知悉此類數(shù)據(jù)泄露后的 72 小時內(nèi)，向監(jiān)管機構(gòu)及受影響人士報告?zhèn)€人資料外泄情況?？蓤蟾娴倪`規(guī)行為可能小到無意中密件抄送了某人，也可能大到在線暴露了詳細客戶數(shù)據(jù)庫。信息保障和隱私從業(yè)者 (Information Assurance and Privacy Practitioners, IAPP) 最近發(fā)布了一份關(guān)于 GDPR 第一年情況的研究報告。2018 年 5 月至 2019 年 2 月，歐盟及其伙伴國家的監(jiān)管機構(gòu)共收到約 5.9 萬份違規(guī)通知;其中 91 個違規(guī)行為被罰款，大部分數(shù)額相對較小。然而很多觀察者認為，實際的違規(guī)數(shù)量可能更大，其中很多可能涉及上千甚至上百萬份文件的泄露。

并非只有歐洲在致力于保護個人數(shù)據(jù)。雖然國家立法可能受到黨派壁壘的影響，但美國聯(lián)邦貿(mào)易委員會 (Federal Trade Commission) 最近批準對 Facebook 處以 50 億美元罰款，原因是該公司對用戶個人信息處理不當。新加坡有自己的個人數(shù)據(jù)保護法，類似于 GDPR。澳大利亞有自己的隱私原則。甚至南非也有詳細的隱私協(xié)議。

但是，盡管全世界在保護個人數(shù)據(jù)和優(yōu)先考慮第三方風險管理方面取得了進展，但在信息所有權(quán)上仍然存在重大文化差異。例如在美國，很多在歐洲受限制的數(shù)據(jù)都是被公開收集和自由交換的。對于總部在美國、客戶和文件分布在很多不同國家的公司來說，協(xié)調(diào)沖突和法律可能在未來幾年仍將是一個令人頭疼的問題。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文