去年 5 月生效的《個人資料保護通用規範》(GDPR) 不僅限於網路上每天煩擾我們的彈出視窗。它還為處理個人資料的組織引入了新的通知要求。他們必須在發現違反此數據的情況後 72 小時內向 CNIL 發出警報。不遵守這項義務意味著未來將面臨更嚴厲制裁的風險。
在昨天晚上(1 月 14 日星期一)由 Orange Cyberdefense 組織的會議上,CNIL 秘書長 Jean Lessi 起草了針對這項措施的新的臨時評估。在近 8 個月的時間裡,該機構收到“1,200 至 1,300 份通知”,平均每天超過 5 份。
為海盜開放的酒吧
秘書長並未透露這一數字的更多細節。但這些通知中的絕大多數很可能涉及違反相關資料機密性的行為。這實際上是去年 10 月出現的趨勢,當時 CNIL 做出了一項比蘭首映本通知義務。此次違規行為中,絕大多數來自外部惡意行為(65%)。換句話說,就是海盜。
有多少人受到這些違規行為的影響?在此,CNIL 再次沒有提供細節,但我們可以認為,法國大約有 4000 至 5000 萬人屬於這種情況。事實上,去年 10 月,CNIL 當時收集的 742 份通知已經影響了超過 3,300 萬人。換句話說,超過二分之一的法國人最近成為個人資料外洩的受害者。老實說,這是巨大的。這些數字給人的印像是個人資料對駭客來說是一個開放的障礙。請注意,受影響最嚴重的行業是酒店業。
然而,當局並沒有屈服於恐慌。現在是教育的時候了。「這使我們能夠意識到並意識到存在的脆弱性和延誤。就這一點而言,我們確實處於支持的角度。我們不會猛烈攻擊該組織並對其進行製裁,而是檢查是否採取了正確的措施來糾正短期內的問題,以及該組織是否是長期良好動態的一部分。”,讓·萊西解釋道。
半數 DPO 已被任命
但路還很長。根據GDPR,每個組織必須任命一名「資料保護官」(DPO),他必須確保處理的合規性。迄今為止,法國的目標是 80,000 個,但只指定了 40,000 個,尤其落後。在法國 35,000 個城市中,只有 10,000 個指定了 DPO。「這首先是一個戰略意願問題。如果公司經理或鎮長認真對待這個問題,那麼就會受到很好的對待””,讓·萊西解釋道。好消息是,在保護個人資料方面,我們只能進步。
