罚款5亿？个人数据泄露有哪些危害以及如何避

[shammis608]

免
已读：1587
＃商业
罚款5亿？个人数据泄露有哪些危害以及如何避免
社论完整
社论完整
2024 年 6 月 21 日
内容
哪些数据属于个人数据？
泄漏原因
如何保护自己免受此类威胁
个人数据是现代世界的主要货币。这就是为什么它们的收集和储存受到法律监管。

然而，立法不断变化，新法案不断出现，现有法规 巴西 whatsapp 号码数据库 也不断收紧。我们与俄罗斯全渠道 CDP Sendsay的专家同行一起，帮助您了解该主题的细微差别，并告诉您如何尽可能保护自己免受数据泄露和类似问题的影响。

哪些数据属于个人数据？
首先要理解的是这个术语本身。

如果我们关注法律文件，那么个人数据包括直接或间接涉及特定或可识别个人的任何信息。

法律上没有具体列出哪些内容可以被视为个人数据，哪些不能被视为个人数据，这是主要的困难
在这里，我们必须依赖定义本身：如果该信息在理论上允许人们识别一个人，那么它就是个人数据。这就是法律中出现“确定”和“确定”一词的地方。特定的人是特定的。可识别是指可以根据数据确定其身份的人。

与此同时，毫无疑问品牌最常收集的信息：全名、地址、手机号码或照片——这绝对是个人数据。这意味着，如果公司收集和存储这些数据，其活动就已经受到“个人数据”法的约束。

这就是为什么如果用户不同意订阅，品牌无权向数据库中的所有联系人发送群发邮件：从法律的角度来看，这种行为将被视为非法处理个人数据。

因此，我们建议不仅收集同意接收广告邮件，还建议使用两步订阅（双重选择加入）。

双重选择加入是指用户不仅检查网站上的订阅表格，还通过单击信件中的链接确认操作。


2024-06-21_13-39-08.png


电子邮件确认电子邮件的示例。图片来自作者的档案

通过这种方法，您可以最大限度地减少错误的可能性：写错的电子邮件将不会包含在数据库中。因此，您不会将邮件发送到不存在或属于其他用户的地址，并且还会减少最终成为垃圾邮件的可能性，并且不会损害您作为发件人的声誉。

如果您对从客户处收集的任何具体信息是否构成个人数据有疑问，最好咨询律师。 “个人数据”法的制定相当广泛，因此这里的再保险比风险更好。

泄漏原因
“个人数据”法尤其涉及个人数据的处理、存储和访问。因此，您不仅需要了解如何正确收集信息，还需要了解如何保护信息。

实践表明，这并不是那么容易做到的：2023年，全球个人数据泄露数量增加了61.5%。这些数字看起来近乎荒谬，因为公司的技术能力在不断增长，但事实上它们似乎变得越来越脆弱。

事实是，不仅是公司，黑客也在发展：网络攻击占所有泄密事件的80% ，而十分之一的网络攻击是由人为因素造成的——员工的不小心行为危及了整个系统。

一般来说，他们并没有故意伤害公司的愿望，但对网络安全的基础知识缺乏足够的了解：他们很少更改密码、打开工作电子邮件中的网络钓鱼链接以及在不受保护的聊天中交换敏感信息。这种“误算”会造成数百万美元的损失。


2024-06-21_13-53-10.png


这就是安全连接的样子。图片来自作者的档案

此外，近年来，俄罗斯发生了多起因不可靠承包商而导致个人数据丢失和泄露的案件。

当然，将客户数据转移到第三方服务和平台的公司违反了联邦“个人数据”法的规定：客户数据不是在俄罗斯联邦存储和处理，而是在国外存储和处理，并且服务离开俄罗斯时，他们只是关闭了对客户的访问。他们在俄罗斯联邦立法之前不承担任何责任，因为这些是外国服务，其工作不受我们法律的约束。

个人数据泄露的另一个原因是小公司傲慢地认为自己对黑客不感兴趣，因此没有对安全问题给予应有的重视。然而，他们也可能有黑客需要其数据的客户。如果您无法直接联系大型银行，那么不幸的是，通过使用银行个人数据的服务可以更容易地做到这一点。

不当行为会受到惩罚：对数据泄露的制裁
泄露个人数据属于行政违法行为，因此罚款的大小直接取决于违法行为的严重程度：违法规模越大，罚款越高。

还取决于谁被指控：对于个人来说，罚款是最低的，对于官员来说，罚款已经更高，对于法人实体来说，罚款是最高的。例如，对于未经书面同意的个人数据处理，个人将支付高达 15,000 卢布的费用，官员将支付高达 300 卢布的费用，法人实体将支付高达 700 卢布的费用。

一般来说，对企业的罚款最低为3万卢布，多次违规最高可达1800万卢布。这些是 2024 年的最新数据。

目前国家杜马有一项新法案提议进一步加强个人数据处理领域违规行为的责任。特别是，加大对“非法转移个人数据”的罚款：对于屡次违规的，预计最高可处以该事件前一年公司总收入3%的罚款，但不少于15%且不超过15%。超过5亿卢布。

当然，目前这还只是一个法律草案。但我们年复一年地观察到该领域立法趋紧的趋势。因此，您不应指望较软的罚款。

在此背景下，高质量的网络安全不再是乳齿象市场上的奢侈品，而是所有公司的必需品。

如何保护自己免受此类威胁
最大的公司（Yandex、Sberbank、MTS 银行）甚至公共部门都会发生泄漏和流失。所以想要完全保护自己免受这种麻烦几乎是不可能的。

但应该尽一切努力防止这种情况发生。

罚款和制裁可能会令人恐惧，但这里一切也并非那么无望：如果你遵守法律的要求，那么很有可能证明你的清白并避免受到惩罚。因此，2022年，Yandex食品快递员个人数据泄露案中，同一个Yandex被认定为受害者。因此，仅仅提起诉讼这一事实并不表明有罪。

因此，为了保护公司并最大程度地降低收到罚款的风险，值得采取以下措施。

IT基础设施审计
确保公司内部处理个人数据的工作组织符合法律要求非常重要，特别是 IT 基础设施能够确保信息安全。

即：

您的服务器位于俄罗斯一个安全的地方，不允许陌生人进入；
您有内部身份验证：只有具有某些权限的员工才能访问数据；
使用防病毒程序、防火墙、DDoS 防护服务、VPN 和其他类似软件；
您的软件已获得联邦技术和出口管制局的认证。
如果您自己不处理数据，而是将其提供给第三方服务，您还必须确保他们的 IT 基础设施满足这些要求。

顺便说一句，如果您提供存储和处理个人数据的服务，您可以申请对您的服务进行审核。例如，它是由个人数据保护和存储协会进行的，不仅检查该公司的可靠性，而且还在其网站上列出它（当然，如果它通过测试），这有助于增加潜在客户的信任。

组织“日常”网络安全和网络
员工的网络素养是另一个重要点，可以最大限度地减少个人数据泄露的可能性。

这意味着所有员工都必须熟悉网络安全的基础知识，了解自己的职责范围，并了解出现问题时应该联系谁。

这意味着组织此流程、任命负责人、制定培训和准备计划以及收集常见问题解答 符合您的利益。

当然，您应该不断监控个人数据领域的更新。立法变化和市场从业者的应用解决方案。

此外，一家公司第一次面临的问题可能并不是独一无二的，因此来自专业团体的网络和支持在这里很重要：有时政府官员会举行公开演讲或对话，您可以向那些真正遇到问题的人提出问题。参与规则制定并在实践中应用立法规定。

当然，个人数据保护问题是一个复杂而有趣的话题，专家独自解决并不容易。

一起寻找复杂问题的答案要容易得多，因此请毫不犹豫地转向其他人的经验并分享您的经验，就像我们、Completo 和我们来自 Sendsay 的朋友所做的那样。