网络安全观察国外政策法规大事件
数据安全
数据泄露事件
关键发现:
- 2019 年数据泄露更加严峻,7 起亿级大规模泄露事件中累计数量超过 50 亿条记录
- 数据泄露类型最多的是个人基本信息,IoT 日志、人脸图像等新泄露趋势值得关注
- 服务器
暴露是数据泄露主要原因,其中 MongoDB 和 ElasticSearch 服务器的安全性需要重点检 查与加固据 Risk Based Security (RBS) 2019 年 Q3 季度(2019.01.01-2019.09.30)的报告 1 ,全球披露的数 据泄露事件有 5183 起,涉及的记录数量达到了 79.95 亿条记录;与 2018 年相比,事件数量(3886) 上涨 33.3%,记录数量(79.95 亿)上涨 112%,整体呈现递增的趋势。
我们收集了 2019 年具有代表性的数据泄露事件,一共 17 起,包括国内 5 起,国外 12 起。根据泄 露的记录数量划分,上亿级别有 7 起,占比达到 41%;1000
万至 9999 万有 2 起,占比 12%,大规模 数据泄露频频发生。其中,7 起上亿级数据泄露累计的记录数量超过 50 亿,涉及国内 2 起事件,分别为 20 亿(泄露记录的最高值)和 5.9 亿。
<100万 18%
=1亿 41%
100万~999万
29%
1000万~9999万
12%
图 6.14 数据泄露数量级别分布
国内事件7 国内事件6 国内事件5 国内事件4 国内事件3 国内事件2 国内事件1
0 5 10 15 20 事件编号 泄露数量(亿条)
图 6.15 7 起亿级别的数据泄露
从泄露的数据类型来看,泄露最多的是个人基本信息,具体包括姓名、住址、出生日期、身份证
件 号码和电话号码等,有一半(53%)的事件涉及;其二是用户账号密码信息;后面三类是三种敏感信息: 包括生物识别敏感信息、收入敏感信息和医疗敏感信息。生物识别敏感信息是一种新的数据类型,包括 人脸识别、虹膜和指纹等信息,这与近年来 AI安防广泛推广应用有关。6%
12%
个人基本信息 用户账号密码信息
12% 生物识别敏感信息
53% 收入敏感信息 医疗敏感信息
17%
图 6.16 数据泄露类型分布
从数据泄露原因来看,服务器互联网
暴露与配置问题是主要原因,同时也是造成大规模数据泄露的 主要原因。其中,绝大数事件与在企业中广受欢迎的 MongoDB 和 ElasticSearch 服务器有关;值得关注的是,有 1 起事件与 IoT 服务器的暴露有关,物联网的安全重要性逐步凸显;此外,服务器存在漏洞 是造成数据泄露与黑客入侵窃取数据的重要原因,重要资产服务器的安全防护能力部署不可忽视。12%
12%
互联网暴露与配置问题 41% 存在漏洞
管理问题
未知原因
国外政策法规大事件
关键发现:
- 2019 年欧盟 GDPR开启收割模式,单项罚款高达到 1.83 亿英镑,GDPR 合规性不容忽视
- 美国加州于 2020 年 1 月 1 日正式实施 CCPA,跨国企业的数据合规建设刻不容缓
- 美国罚款 Facebook 公司因 2018 年数据泄露事件 50 亿美元,为本年度违规最高金额
2018 年 5 月 25 日,欧盟正式颁布《通用数据保护条例》(General Data Protection Regulation, GDPR)用以保护欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。受 GDPR影响,全球的其他国家也陆续推出了数据安全保护的相关法规:巴西于 2019 年 7 月通过《通用 数据保护法》(葡萄牙语简称 LGPD)的最终版本,将于 2020 年 8 月生效;印度在 2018 年的立法上, 12 月公布修改后的《2019 年个人数据保护法(草案)》(Personal Data Protection Bill, 2019);泰国 于 2019 年 5 月 28 日正式实施《个人数据保护法》(Personal Data Protection Act ,PDPA)等。
2019 年,GDPR 进入全面执法阶段,一个典型趋势是欧盟多数成员国已经陆续开出了多张违反 GDPR的罚单。其中,英国执法力度最大,英国 ICO(Information Commissioner’s Office)于 7 月 8 日 和 9 日分别对英国航空公司(英航)和万豪国际集团由于数据泄露事件分别开出 1.83 亿英镑和 9900 万英镑的罚款,为年度最高的两张巨额罚单。对于罚款金额,GDPR 第 83 条给出解释,犯规罚款金额
的最高值取“最高 2000 万欧元或对企业占上一财政年度全球总营业额 4% 的行政罚款”的最高值。 上述两个事件分别占到了英航和万豪上一财政年度全球总营业额的 1.5% 和 3.4%,由此可见英国对违
发 GDPR的企业处罚力度非常严厉。此外,法国也对 Google 开出了 5700 万美元的巨额罚单,原因是 Google 的隐私条款的设计非常难以被用户理解。从我们收集的 8 起 GDPR罚款事件看,有 4 起(一半 事件)是由于数据泄露原因造成,包括前面提到的英国 ICO的 2 起罚款事件;由此可见数据防泄漏以 及建立应急响应机制是企业满足 GDPR合规重要内容。另外 4 起分别是多元性的原因,包括隐私条款 设计问题、未采取安全保密措施、未满足用户权利要求和违规识别生物敏感数据。
欧盟 GDPR罚款事件 [^1]:
- 2019 年 7 月,英国 ICO对英国航空公司开出 1.83 亿英镑(约合 15.94 亿元人民币)的罚款, 约占该公司年收入的 1.5%。(罚款原因:数据泄露)
- 2019 年 7 月,英国 ICO对万豪国际集团开出和 9900 万英镑(约合 8.57 亿元人民币)的罚款, 约占该公司全球年收入的 3.4%。(罚款原因:数据泄露)
- 2019 年 1 月,法国对 Google 罚款 5700 万美元,原因是 Google 的隐私条款难以被用户理解, 尤其在个人化广告推荐上。(罚款原因:隐私条款设计问题)
- 2019 年 9 月,波兰对购物网站 Morele.net 由于数据泄露处以 64.478 万欧元罚款。(罚款原因: 数据泄露)
- 2019 年 8月,保加利亚对 DSK 银行由于数据泄露处罚 51.1 万欧元的罚款。(罚款原因:数据泄露)
- 2019 年 6 月,荷兰对 Haga 医院处罚 46 万欧元的罚款,原因是十名职员不必要的查看一名著 名的公众人物的医疗记录。(未采取安全保密措施)
- 2019 年 8 月,德国对 Delivery Hero(网络公司)处以 20 万欧元罚款,原因是客户要求删除个 人数据时,却没有回应仍然向用户发送电子邮件广告。(罚款原因:未满足用户权利要求)
- 2019 年 8 月,瑞典对一家学校处以 1.8 万欧元罚款,原因是使用人脸识别技术来记录学生考勤 处罚,GDPR 原则上禁止以识别自然人身份为目的处理生物特征数据。(罚款原因:违规识别 生物敏感数据)
同样受欧盟 GDPR的广泛影响,美国加利福尼亚州(加州),缅因州、内华达州和蒙佛特州、夏威夷、 马里兰、马萨诸塞、密西西比和华盛顿等各个州独自实施数据隐私保护的州立法。其中,2018 年 6 月 通过的《加州消费者隐私保护法》(California Consumer Privacy Act,CCPA)由于影响涉及大部分知 名 IT科技公司,如惠普、Oracle、Apple、Google 和 Facebook 等,该方案从立法到颁布备受各界人士 的关注。2019 年 10 月,美国加州州长正式签署 CCPA的最终法案,于 2020 年 1 月 1 日正式生效。据 IAPP和 OneTrust 调查结果显示 1 ,大约 2%的受访者认为他们的企业已经完全做好了应对 CCPA 的准备。 因此企业的 CCPA的合规性建设刻不容缓,否则如同 GDPR一般,CCPA也是另一台不可忽视罚款的“收 割机”。
在美国数据安全罚款事件中,备受瞩目要数“Facebook 剑桥分析隐私泄露” 案件:2019 年 7月 23 日, Facebook 公司与美国联邦贸易委员会(Federal Trade Commission,FTC)达成 50 亿美元罚款的和解 协议,为该案件的调查划下了终结的句号。这是美国 FTC 有史以来的最大一笔罚款,也是本年度数据 安全相关的最高罚款额度。另一个值得关注事件,2019 年 9 月 4 日美国 FTC 依据《儿童上网隐私保护 法》处罚 Google 旗下的 YouTube 视频网站 1.7 亿美元,罚款原因是网站非法收集和分享儿童个人信息。 这是自 1998 年 FTC 在儿童隐私案件中开出的最大罚款事件。美国处罚事件的罚款金额频频刷新最高记 录,一方面反映了美国近年来的在数据隐私执法力度也在加大,同时也促使 IT企业在数据安全合规上 投入更多成本。
参考资料
绿盟 2019年网络安全观察
友情链接
绿盟 2020 网络安全观察