前情回顾·隐私保护与对抗前线

安全内参7月5消息,过去十年来,数据泄露和隐私侵犯事件激增。从社交媒体巨头到金融机构,几乎所有行业都遭到网络犯罪分子窥视,蒙受了隐私保护措施不足的后果。

本文总结了2011年至今实施的隐私罚款、数据隐私法规的演变、备受关注的案例以及它们对企业和个人的影响。

2013年之前:数据隐私初入视野

数字时代伊始,隐私侵犯活动往往在公众意识之外悄然运行,却也日益引发关注。虽然技术快速进步、在线平台纷纷投用,人们并没有充分认识到个人数据处理不当的潜在风险。这一阶段奠定了我们今天面临的隐私格局——个人信息保护已经成为关键问题。

当时,隐私侵犯并没有像现在这样受到重点监管。但是,一些重大案例逐渐浮出水面,预示着那些未能保护个人数据的人会承担哪些后果。这些案例包括:

  • 2011年,索尼PlayStation:大约7700万用户的个人信息,包括姓名、地址、电子邮箱,甚至信用卡信息,落入黑客手中,总损失约1.7亿美元。英国监管机构对此处以39.5万美元罚款。这次数据泄露凸显了个人数据脆弱性,也表明了加强安全措施的必要性。

  • 2012年,谷歌:谷歌采集街景地图数据时,中从不安全的Wi-Fi网络收集个人数据,因此受到严格审查。几个国家对这家科技巨头的隐私侵犯行为进行罚款。其中,美国联邦通信委员会处以2.5万美元罚款。

与如今各类组织通常面临的罚款相比,上述罚款金额较低。但是,它们在塑造隐私法规和公众认知方面起到了重要作用。这些较早的罚款表明,隐私侵犯可能对个人和组织产生现实后果,促使人们更深入地理解隐私的价值。

随着隐私侵犯和数据泄露的新闻不断传播,个人逐渐认识到在网上分享个人信息会带来风险,并开始质疑他们的个人数据是否被安全收集、使用和共享。人们不再完全信任各类组织会负责任地处理个人数据,要求后者提供更强有力的隐私保护措施。

为了回应上述态势,各国政府开始制定、完善隐私法规。他们意识到,必须创建法律框架,跟上不断发展的技术,并应对数字时代的新兴挑战。

2013-2015年:数据隐私意识加强

2013至2015年间,公众对隐私问题的意识发生较大转变。随着技术继续快速发展,人们对个人数据安全的担忧也日益增长。智能手机、社交媒体平台和在线服务广泛应用,导致个人信息的收集、共享和存储数量呈指数级增长。日益增长的数据隐私意识促使个人、组织和政府更深入地审视隐私实践,考虑采取更强有力的保护措施。

在这一时期,人们对隐私问题的意识不断加强,数家侵犯隐私的组织被课以高额罚款。这些案例包括:

  • 2013年,谷歌:美国联邦贸易委员会(FTC)与谷歌达成和解协议——谷歌实施了欺骗性的追踪行为,使用Cookie在未经用户同意的情况下收集用户数据;为此,这家科技巨头支付了2250万美元的罚款。这一里程碑事件在行业内引发巨大震动,说明数据收集实践中必须保持透明,并获取用户许可。

  • 2015年,安森保险:这家健康保险提供商遭遇数据泄露,近7880万人的受保护健康信息(PHI)泄露。因为违反了《健康保险可移植性与责任法案》(HIPAA),安森保险支付了创纪录的1600万美元罚款。这次泄露事件对医保行业敲响了警钟,说明处理敏感患者数据时必须采取强大的安全措施。

  • 2015年,AT&T:该公司位于墨西哥、哥伦比亚和菲律宾的呼叫中心的员工盗取了约28万名美国客户的姓名和完整或部分社会安全号码。美国联邦通信委员会(FCC)对该公司处以2500万美元罚款,理由是其未能保护客户的个人信息。截至当时,这是FCC针对数据安全和隐私侵犯问题开具的最高罚单。

这些事件充分说明,数据隐私和保护不到位会导致多么严重的后果。对这些事件的集体回应也为未来几年制定更严格的隐私法规、加大对网络安全的关注奠定了基础。

2016-2018年:引入《通用数据保护条例》

欧洲议会通过《通用数据保护条例》(GDPR)。这是个人数据保护和隐私权保护方面的里程碑事件。GDPR做出了一些重要规定。比如,若发生数据泄露,数据控制者和处理者将面临重罚;二者必须使用清晰明确的语言获取数据使用许可;发现数据泄露后,二者必须72小时内通知受影响个人。

GDPR自2018年正式实施以来,对违规行为引入了更高额的罚款。发生最严重违规行为的组织,将面临年度全球营业额的4%或2000万欧元(以较高者为准)的罚单。这一措施促使许多组织和各国政府将数据保护置于优先位置,并努力增强隐私保护机制。

下面是这一时期一些备受关注的案例:

  • 2016年,嘉德诺健康集团:该集团未能保护400万名患者的电子受保护健康信息(ePHI)。美国卫生与公众服务部民权办公室(OCR)因未实施物理访问控制、未采用适当安全政策以及多项其他违反《健康保险可移植性与责任法案》(HIPAA)的行为,对该集团处以550万美元罚款。

  • 2017年,Equifax:美国信用报告公司Equifax遭遇了一次大规模的数据泄露,导致1.47亿名客户的社会安全号码被曝光。公司与美国联邦贸易委员会(FTC)、美国消费者金融保护局(CFPB)以及50个州达成和解协议,支付总额达7亿美元的赔偿金。和解协议还要求艾贵发改进数据隐私实践,并定期评估安全系统。

  • 2018年,Facebook(Meta)和剑桥分析:这一时期,社交媒体巨头Facebook和数据分析公司剑桥分析的数据隐私案件被广泛报道。8700万名Facebook用户的个人数据在未经其同意的情况下被收集并用于政治目的。英国信息专员办公室(ICO)对此开出50万英镑的罚单。这仅仅是一系列罚款中的第一笔。后续,美国联邦贸易委员会(FTC)提出了更严厉的50亿美元罚款。

2019-2021年:数据隐私“新常态”

GDPR实施后,许多国家效仿这一具有里程碑意义的法案,落实自己的隐私保护机制。因此,隐私法规的范围扩大到了欧盟以外的地区。GDPR为全面的隐私法律树立了先例,引发了全球性加强数据保护的运动。加州和巴西等地认识到有必要增强隐私权,并制定了自己的隐私保护法案。

加州《消费者隐私法案》(CCPA)和巴西《通用数据保护法》(LGPD)旨在为个人提供更多对其个人数据的控制权,为处理这些数据的组织制定了指南。在数字时代,隐私被认为是一项基本权利,监管也在同步发展。

随着隐私保护范围的全球化,一些组织因隐私违规行为受到重大罚款和处罚。这些案例包括:

  • 2019年,谷歌:法国国家信息与自由委员会(CNIL)对谷歌处以5000万欧元的罚款,理由是谷歌在个性化广告方面存在透明度不足、信息不充分和未得到许可等多项违规行为。罚款依据是谷歌未能遵守GDPR关键条款,包括第13条(从数据主体收集数据时应提供的信息)、第14条(未从数据主体获得个人数据时应提供的信息)、第6条(数据处理合法性)、第5条(个人数据处理原则)。CNIL的决定说明,谷歌未能遵守GDPR关于数据保护和隐私的重要规定。

  • 2019,万豪:一次网络攻击曝光超过3.39亿名客户记录的个人数据。随后,英国信息专员办公室(ICO)因万豪国际违反GDPR对其处以1840万英镑的罚款。ICO调查发现,万豪国际在收购喜达屋酒店集团时,未能进行充分的尽职调查,并未实施适当的安全和隐私保护措施。

  • 2020年,英国航空公司:英航未能保护超过40万名客户的个人信息,ICO对其处以2600万美元的罚款。调查发现,该航空公司处理大量个人数据时未采取足够的安全措施。这一失误违反了数据保护法。后果是,2018年发生的一次网络攻击,超过2个月才被英航发现。

  • 2020年,H&M:2020年,H&M因非法监视员工被德国汉堡数据保护机构罚款3500万欧元。该公司在员工休假后的复工会议进行录音,存储了过多个人数据。这些数据可被50多名管理人员访问。该行为违反了GDPR第5条和第6条有关数据最小化和合法处理的规定。这笔罚款警告各大组织,必须尊重员工隐私,并遵守GDPR相关规定。

  • 2021年,亚马逊:卢森堡国家数据保护委员会(CNDP)对亚马逊处以迄今为止最高额的GDPR罚款,金额达到7.46亿欧元(8.88亿美元)。CNPD调查了亚马逊处理客户个人数据的方式,发现广告投放系统存在违规行为——该系统未获得适当许可,即悄然运行。

  • 2021年,WhatsApp:WhatsApp是隶属于Meta的即时通讯服务应用。爱尔兰数据保护委员会(DPC)发现其未向欧洲用户告知个人信息的收集和使用方式,并与Meta共享数据,对其处以2.25亿欧元的GDPR罚款。

这些罚款累积影响大,削弱了消费者信任。这迫使企业重新评估数据处理实践,大幅加强合规性、隐私和安全措施的投入。

2022-2023年:隐私成为焦点

过去十年里,隐私监管发展迅猛,对全球商业事务的影响倍增。2022-2023年间,隐私罚款变得更加严厉和高昂,表明各大组织正面临日益严格的审查和执法。保护个人数据、严格落实数据保护措施不再是锦上添花,而是基本要求。这一事实在以下重大隐私罚款案例中得到体现:

  • 2022年,Instagram:爱尔兰数据保护委员会(DPC)调查社交网络应用Instagram的儿童数据处理情况,随后对其处以4.02亿美元的罚款。调查重点关注13至17岁用户操作的商业账户,这些账户允许公开用户电话号码和/或电子邮箱,引发了对未成年人个人信息保护的担忧。

  • 2022年,Clearview AI:法国监管机构CNIL发现面部识别公司Clearview AI非法处理并删除法国公民的数据,为此对其罚款2200万欧元。

  • 2023年,Meta:欧盟监管机构最近对Meta处以12亿欧元(13亿美元)的创纪录罚款,理由是其违反了欧盟隐私法律。违规行为包括,将Facebook用户的个人数据转移至位于美国的服务器。这笔罚款由欧洲数据保护委员会决定并公布,决定依据是DPC的调查。DPC是负责监管Meta在欧洲运营的主要机构。

参考资料:https://bigid.com/blog/top-20-defining-privacy-payouts/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。