新年新气象,元旦刚过请允许我给大家拜个早年~

说话间一年就过去了,回首2018,互联网领域可谓是翻天覆地:勒索病毒死灰复燃,区块链从“智商税”摇身一变成为主流产业,人工智能、人工智障傻傻分不清楚,全民等5G的同时,WPA3也悄悄冒泡刷一下存在感……

timg.jpg

但是说到年度网络大事件,有一个词怎么也绕不开,也就是本文的主题——“GDPR”,相信不少人都听说过。

虽然到现在可能依旧有人不知道什么是GDPR,作为个人,你不知道没关系,但从企业的角度讲,尤其是一些巨头企业(比如今年像蜂窝煤一样的Facebook),一准是听到这名字就头大。而且这半年以来各位有没有发现,在各类应用程序的使用过程中突然多了很多推送,尤其是关于用户协议方面的?没错,就是因为GDPR。

什么是GDPR

这东西的名字很无聊,GDPR(General Data Protection Regulation)——通常被翻译成“通用数据保护条例”。由欧盟在2016年推出,但直到今年也就是2018年5月25日才正式生效,被称为“史上最严数据保护条例”。尽管在法律框架内,GDPR仅仅适用于欧盟各国,但实际上,任何参与到国际贸易的企业都可能会涉及到它,这也是为什么多数甚至不在欧洲的企业提及GDPR时也会菊花一紧的原因。

这个条例与以往的有什么区别?

划个重点:

1.用户必须可以随时查看、更改、删除下载自己的相关数据;

2.企业在收集用户数据之前必须与用户签订相关协议;

以及重新定义了一些隐私数据的范围和动辄让人倾家荡产的处罚机制。

总而言之,言而总之,这个条例就是为了保证用户对自己的数据具有完全的控制权

怎么说呢,这些条例都还是有道理的,现在的互联网讲究一个大数据,你收集我的数据那必须得让我知道。比如说,我今天早上看了场NBA,然后某电商平台就疯狂给我推球鞋球衣,这得让我知道是为什么;再比如说,我在网上搜了“2014”、“Poxxhub”、“91”之类的关键词,你得让我能找到并且能删掉,不然回头女朋友看到了我怎么解释?

所以说,这个条例的出发点是正确的。

当然,16年出台的,18年才实施,也是给了各大企业充足的准备时间(意思是之前有啥幺蛾子的这两年赶紧处理了,别回头怪我没提醒你)。5月25日的deadline之前,各大公司的准备工作可谓是空前高涨,内部管理、数据调整、政策改动、员工培训……

那为什么所有企业都会谈GDPR色变呢?

究其原因还是处罚力度太大。大到什么程度?违规行为轻的交1000万欧或者企业全年营收2%,行为重的交2000万或全年营收4%(哪个数额大取哪个)。可能很多人不明白2%或4%到底是个什么水平,简单来说,很多公司全年的净利润基本都到不了4%。(一不留神可就是一年白干)

因此也就有了下面这张图,来自律师的忠告:如果你无力反抗,那么就放开了享受吧。

v2-ef0b69bcc34406bd451bfecd96be35e8_hd.jpg

一个简单的栗子

知名欧洲电话零售商(Carphone Warehouse、Currys PC World和Dixon Carphone),在2018年被爆出数据泄露事件,大约950万用户银行卡信息泄以及120万个人信息遭到泄露。而这家倒霉公司早在2015年就已经因为泄露用户数据被罚过一次款,当时被罚了40万英镑。

而这次事件由于发生在GDPR生效之前,所以也不确定是否会根据新条例来裁定。如果按照以往的条例,罚款最多50万英镑,但若是根据GDPR规则,罚款可能高达4.2亿英镑。

所以在GDPR刚生效的时候,部分企业的网站和服务立即屏蔽了欧盟地区的行为也就能说得通了。例如,Tronc旗下众多知名网站包括《纽约每日新闻》、《洛杉矶时报》、《奥兰多哨兵报》等,直接就屏蔽了欧洲地区,也不知道欧洲读者们看到这个界面的时候是什么心情。

f9ff82db62bb412eaf993408ae4ad141.jpeg

开门红

GDPR作为本次事件的主角,也着实没有让人失望,在刚刚生效的第一天,就出现了“批斗”目标。法国、比利时、德国、奥地利等国家的监管机构收到了四起诉讼,分别是针对Facebook、及其旗下的Instagram、WhatsApp,和Google的Android系统,四者被指控强迫用户共享个人数据,并且谷歌还通过系统中应用的各种功能采集用户定位数据,并且未向用户提供相关信息。

微信图片_20190102175032.png

按照GDPR规则的计算,若监管机构认定诉讼成立,则谷歌的母公司Alphabet将面临最高37亿欧元的罚款,而Facebook和两家子公司也将面临共计39亿欧元的罚单。

当然,两家企业不可能就这么坐以待毙,均对指控提出了质疑和否认,认为他们当前的措施足以满足GDPR的要求。当然,这一事件也仍然没有结论,最终是监管机构打脸还是两家企业认怂,我们的瓜还可以慢慢吃~

实际的第一例罚款

来自于2018年11月20日的一条新闻:

德国知名社交网站Knuddels因被黑客攻击从而造成了约八十万封电子邮件和超过一百八十万的用户数据泄露,其中33万封邮件得到了验证。经过调查后发现,该网站没有对密码之类的敏感信息进行任何形式的加密保护,而是直接以明文形式存储。

最终,Knuddels网站被监管机构根据GDPR条例罚款20000欧元。

……

是的,只罚了两万欧,没有少个零,也没有分期付。

对此官方给出的解释是:在计算问题严重程度时,需要考虑受影响的人数、问题的性质、有关诉讼、预防措施、与当地监管部门的合作、违规记录以及数据保护人员的通知行为等等诸多因素。

嗯,实施刚刚开始,似乎就引发了无休止的争论。但至少通过这则新闻,我们又知道了GDPR也是灵活多变的。

数据泄露年 or 数据保护年

屋漏偏逢连夜雨,正当新法案风风火火“上任”时节,世界各地也是安全事件频发:

3月,Facebook用户8700万条数据被泄露和滥用;

3月,知名运动品牌Under Armour约1.5亿用户数据通过手机程序MyFitnessPal泄露;

5月,国泰航空因黑客攻击导致540万用户数据泄露;

8月,华住旗下多家酒店用户信息在暗网出售,总量近5亿;

8月,顺丰用户数据被挂在暗网出售,涉及3亿用户;

9月,英国航空公司38万用户数据遭到泄露;

11月,万豪酒店被曝约5亿用户数据泄露;

12月,陌陌3000万用户数据泄露并遭到售卖;

……

因为事发时间与新闻曝出时间存在一定的间隔,所以基本上多数收到影响的企业都需要经过一番GDPR的洗礼,具体怎么处理,还需要经过调查核实后我们才能知晓。

可以确定的是,作为史上最为严厉、最为翔实的一部保护数据安全法规,对当前愈演愈烈的信息安全问题来说无异于一剂猛药。如同一顶紧箍咒,在安全层面上,将企业套牢。

但凡事皆有两面性,不能因为光芒太盛就忽略了阴影的存在。从广义上来说,过于严苛的保护条例以及高额的罚款必然会让一部分企业望而却步,就此放弃欧洲市场,这对原本就处于经济下滑期的欧盟来说也是无法承受的结果。狭义上讲,在GDPR的实施范围内,不同国家不同地区的法律法规也各有不同,并且其条例本身也仍然存在一些争议。因此在不论是普及或是实施阶段,都将面临着不小的挑战。

总的来说,在数据保护层面,GDPR的出现代表着世界安全意识的进步。但究竟在未来会产生什么影响,我们谁也说不准。但总要有第一个吃螃蟹的人,无论他的成败得失都将成为我们后来者学习和借鉴的榜样。

*本文作者:Karunesh91载请注明来自FreeBuf.COM

源链接

Hacking more

...