Ponemon研究所的专家透露,到2023年,数据泄露的平均成本将达到500万美元左右。与2022年的435万美元和2021年的424万美元相比,这一数字有所上升。随着数据泄露的频率和严重程度不断上升,企业必须优先考虑数据安全,以避免巨额罚款和处罚。
人为错误、内部威胁和网络攻击是数据泄露最常见的原因。英国信息专员办公室(ICO)和美国卫生与公众服务部(HHS)、GDPR、HIPAA和ISO等监管机构正在对遭遇数据泄露的企业处以巨额罚款和处罚。
51最大数据泄露罚款和处罚一览
本节简要概述了全球范围内的数据泄露罚款和数据泄露罚款。
| Sr no. | Name of Company | Amount of fine | Imposing Authority |
| 1 | Didi Global | $1.2 billion | Chinese Government |
| 2 | $725 million | FTC | |
| 3 | Amazon | $886 million | Luxembourg National Commission for Data Protection |
| 4 | Equifax | $700 million | FTC |
| 5 | Epic Games | $520 million | Violating COPPA |
| 6 | T-Mobile | $500 million | Lawsuit |
| 7 | Home Depot | Ongoing Lawsuit | |
| 8 | Capital One | $80 million | OCC |
| 9 | $170 million | Violating COPPA | |
| 10 | $150 million | FTC | |
| 11 | Uber | $148 million | Delay in reporting a data breach |
| 12 | Morgan Stanley | $150 million | SEC |
| 13 | Anthem | $115 million | |
| 14 | Cafe Press | $500,000 | FTC |
| 15 | Zoetis | $1.9 million | |
| 16 | Health Net | $250,000 | GDPR |
| 17 | eBay | $7.2 million | GDPR |
| 18 | Yahoo | $35million | Multiple regulatory bodies |
| 19 | $3 million | Dutch Data Protection Authority | |
| 20 | Target | $18.5 million | 47 US states |
| 21 | Marriott International | $23.8 million | GDPR |
| 22 | Premera Blue Cross | $10 million | Multiple regulatory agencies |
| 23 | British Airways | $230 million | ICO, UK |
| 24 | Advocate Health | $5.5 million | HIPAA |
| 25 | Aetna | $1.15 million | HIPAA |
| 26 | Anthem | $115 million | HIPAA |
| 27 | Cathay Pacific | $644,000 | Hong Kong Privacy Commissioner |
| 28 | Fresenius | $3.5 million | HIPAA |
| 29 | The University of Rochester Medical Center | $3 million | HHS |
| 30 | Massachusetts Eye and Ear Infirmary | $1.5 million | HIPAA |
| 31 | CVS Health | $2.25 million | HIPAA |
| 32 | MD Anderson Cancer Center | $4.3 million | HIPAA |
| 33 | Athens Orthopedic Clinic | $1.5 million | HIPAA |
| 34 | Cottage Health | $3 million | HIPAA |
| 35 | Austrian Post | €18 million | GDPR |
| 36 | Oregon Health & Science University | $2.7 million | HIPAA |
| 37 | Parkview Health | $800,000 | HIPAA |
| 38 | LifeSpan Health | $1.5 million | HIPAA |
| 39 | 21st Century Oncology | $2.3 million | HIPAA |
| 40 | REWE International | $33 million | GDPR |
| 41 | Dutch Tax and Customs Administration | $800,000 | GDPR |
| 42 | Boston Medical Center | $100,000 | HIPAA |
| 43 | Cosmote Telecom | $5.1 million | GDPR |
| 44 | Excellus Health Plan | $380.5 million | HIPAA |
| 45 | Dixons Carphone | £500,000 | Information Commissioner’s Office (ICO) |
| 46 | $1.7 billion | European Union | |
| 47 | National Revenue Agency (Bulgaria) | unconfirmed | unconfirmed |
| 48 | Enel Energia | €11.5 million | Italian data protection authority |
| 49 | BBVA | €5 million | Spanish Data Protection Agency |
| 50 | Columbia University Medical Center | $9.5 million | HIPAA |
| 51 | ENI | €5 million | Italian Data Protection Authority |
1.滴滴全球
2021年7月,中国网约车巨头滴滴全球因违反数据隐私法,在中国政府的数据泄露诉讼中被罚款12亿美元。
违规原因
该公司被指控未经同意收集和使用个人数据,未能保护用户信息免受网络攻击。2021年5月和6月,滴滴的数据库遭到黑客攻击,泄露了数百万用户的个人信息,包括姓名、电话号码和地址。
怎样才能避免呢?
- 滴滴本可以通过实施更强有力的数据保护措施来避免处罚。
- 更强有力的措施本可以包括加密、多因素身份验证和定期安全审计。
- 未经明确同意,不得使用用户数据。
- 用于快速检测和应对网络攻击的协议可以将数据泄露的影响降至最低。
2.脸书
2019年7月,脸书因未能保护用户数据和从事欺骗性行为而被联邦贸易委员会罚款7.25亿美元。
违规原因
政治咨询公司剑桥分析公司在未经数百万脸书用户同意的情况下,从他们那里获取了数据。脸书被指控未能充分保护用户数据,也未能向用户披露他们的数据是如何被使用的。此外,脸书被指控通过误导用户对其数据的控制程度来进行欺骗。
怎样才能避免呢?
- 限制第三方对用户数据的访问。
- 为用户提供更多的透明度和对其数据的控制。
3.亚马逊
2021年7月,亚马逊因违反欧盟《通用数据保护条例》(GDPR)而被卢森堡国家数据保护委员会罚款8.86亿美元。
违规原因
亚马逊被指控处理个人数据违反了《通用数据保护条例》,特别是针对其有针对性的广告行为。该公司被发现收集用户在线活动的数据,包括搜索和购买,并在未经用户同意的情况下使用这些数据显示有针对性的广告。
怎样才能避免呢?
- 在数据收集和处理实践方面对用户保持透明。
- 在收集和使用个人数据进行定向广告之前,应获得明确的同意。
- 实施更强有力的数据保护措施,以安全地存储和保护用户数据免受未经授权的访问。
4.Equifax公司
2019年7月,Equifax因未能保护用户数据而被联邦贸易委员会(FTC)罚款7亿美元。
违规原因
数据泄露发生在2017年,当时Equifax的数据库遭到黑客攻击,暴露了超过1.43亿美国人的个人信息。该公司被指控未能实施足够的数据安全措施,包括未能修补其系统中的已知漏洞。
怎样才能避免呢?
- 实施更强的数据保护措施,如定期安全审计、加密和多因素身份验证。
- 确保及时修补系统中的所有已知漏洞,以防止数据泄露。
5.史诗游戏 ( Epic Games)
2019年2月,Epic Games因违反《儿童在线隐私保护法》(COPPA)而被联邦贸易委员会(FTC)罚款5.2亿美元。
违规原因
该公司被指控在未经父母同意的情况下收集未成年人的个人信息,包括姓名和电子邮件地址。联邦贸易委员会还指控Epic Games未能充分保护其用户的个人信息,导致2018年的数据泄露。
怎样才能避免呢?
- 实施更强有力的数据保护措施,以保护个人信息。
- 在收集未成年人的个人信息之前,必须征得父母的明确同意。
- 实施协议以快速检测和响应网络攻击,防止数据泄露。
6.T-Mobile公司
2021年8月,T-Mobile因数据泄露泄露了5000多万客户的个人信息而面临诉讼,要求就超过5亿美元的损失达成数据泄露和解。
违规原因
数据泄露发生在黑客访问T-Mobile的服务器时,暴露了包括姓名、电话号码和社会安全号码在内的个人数据。该公司被指控未能充分保护用户数据并及时对违规行为作出回应。
怎样才能避免呢?
- 实施更强的数据保护措施,如加密、多因素身份验证和定期安全审计。
- 以及时和透明的方式对违规行为作出回应。
- 通知客户违规行为,并提供身份盗窃保护服务。
7.家得宝
2014年,家得宝因数据泄露泄露了5000多万客户的个人信息而面临数据泄露诉讼。
违规原因
黑客访问家得宝的支付系统,窃取客户的信用卡和借记卡信息,导致数据泄露。该公司被指控未能充分保护用户数据并及时对违规行为作出回应。
怎样才能避免呢?
- 实施更强的数据保护措施,如加密、多因素身份验证和定期安全审计。
- 以及时和透明的方式对违规行为作出回应。
- 通知客户违规行为,并提供身份盗窃保护服务。
8.Capital One
2019年,Capital One因数据泄露暴露了1亿多客户的个人信息而被货币监理署(OCC)罚款8000万美元。
违规原因
数据泄露发生在一名黑客访问Capital One基于云的存储,窃取信用卡应用程序、社会安全号码和其他个人信息时。该公司被指控未能充分保护用户数据并及时对违规行为作出回应。
怎样才能避免呢?
- 加强数据保护措施,如加密、多因素身份验证和定期安全审计。
- 对违规行为做出透明、及时的回应。
- 通知客户违规行为,并提供身份盗窃保护服务。
9.谷歌
2019年,谷歌因违反《儿童在线隐私保护法》(COPPA)而被联邦贸易委员会(FTC)罚款1.7亿美元。
违规原因
该公司被指控在未经父母同意的情况下,在其YouTube平台上收集儿童的个人信息,并利用这些信息提供有针对性的广告。
怎样才能避免呢?
- 实施更好的年龄验证系统,并在收集儿童个人信息之前征得父母同意。
- 改进数据保护做法并实施定期安全审计。
- 确保用户数据得到充分保护。
10.推特
2020年,推特因违反数据隐私法被联邦贸易委员会罚款1.5亿美元。
违规原因
该公司被指控将出于安全目的收集的电话号码和电子邮件地址用于定向广告,并且未能充分保护用户数据免受未经授权的访问。
怎样才能避免呢?
- 实施更强的数据保护措施,如加密和多因素身份验证。
- 定期审核安全实践。
- 确保未经明确同意,用户数据不会被用于非预期目的。
11.优步
2018年,优步同意支付1.48亿美元的网络攻击和解金,以解决掩盖2016年发生的数据泄露的指控,该事件影响了5700多万用户和司机。
违规原因
该公司被指控未能及时披露漏洞,并向黑客支付了10万美元,以删除被盗数据并使漏洞保持沉默。
怎样才能避免呢?
- 及时向当局和受影响的用户披露违规行为。
- 实施更强有力的数据保护措施,如加密,并定期进行安全审计。
- 建立检测和应对违规行为的协议,以防止类似事件的发生。
12.摩根士丹利
2021年,摩根士丹利同意向美国证券交易委员会(SEC)支付1.5亿美元,原因是其在2019年发生的数据泄露中未能充分保护客户数据。
违规原因
该公司被指控未能充分监控员工对机密客户数据的访问,并允许员工在未经授权的情况下访问和复制此类数据。
怎样才能避免呢?
- 实施更严格的访问控制和监控系统,以防止未经授权访问客户数据。
- 改进其数据保护做法。
- 定期进行安全审计,以检测和解决漏洞。
13.Anthem
2018年,美国最大的健康保险公司之一Anthem同意支付1.15亿美元,以解决与2015年发生的数据泄露有关的指控。
违规原因
该公司被指控未能充分保护客户数据,并允许黑客获取敏感信息,包括姓名、出生日期、社会保障号码和医疗识别号码。
怎样才能避免呢?
- 实施更强的数据保护措施,如加密和多因素身份验证。
- 定期测试其安全系统的漏洞。
- 建立检测和应对违规行为的协议,以防止类似事件的发生。
14.CafePress
2019年,个性化产品的在线零售商CafePress同意支付50万美元,以解决其未能充分保护客户数据的指控。
违规原因
该公司被指控未能妥善保护其计算机网络,导致数据泄露,暴露了数百万客户的个人信息,包括姓名、电子邮件地址和密码。
怎样才能避免呢?
- 实施更强的安全协议
- 定期检测
15.Zoetis
2021年,全球动物健康公司Zoetis同意支付190万美元,以解决其未能充分保护客户数据的指控。
违规原因
该公司被指控未能实施足够的安全措施,并允许发生网络攻击,导致敏感商业信息被盗。
怎样才能避免呢?
- 实施更强的安全协议
- 定期脆弱性评估和测试
16.健康网(Health Net)–250000美元HIPAA
2009年,健康网遭遇数据泄露,9个包含190万投保人个人和医疗信息的服务器驱动器丢失。
违规原因
Health Net未能按照HIPAA法规的要求实施适当的物理、管理和技术保护措施来保护患者数据。此外,该公司没有适当的风险管理实践来识别、预防和缓解潜在的数据泄露。
怎样才能避免呢?
- 建立强大的安全实践,如加密和多因素身份验证,以保护患者数据。
- 定期进行风险评估和审计,以识别和解决其系统中的潜在漏洞。
17.易趣
2014年,eBay遭遇网络攻击,黑客获取了1.45亿用户的个人信息,包括电子邮件地址、出生日期和加密密码。该公司被罚款720万美元。
违规原因
eBay的安全系统不够强大,无法防止网络攻击,该公司也未能采取适当措施保护用户数据。
怎样才能避免呢?
- 更好地监控系统。
- 脆弱性评估
18.雅虎
2017年,雅虎因未能披露2014年发生的数据泄露而被美国证券交易委员会罚款3500万美元。
违规原因
雅虎被指控未能及时通知投资者此次违规行为,涉及数百万用户的个人数据被盗,包括姓名、电子邮件地址、出生日期和电话号码。
怎样才能避免呢?
- 及时向公众和美国证券交易委员会披露违规行为。
- 采取措施防止未来的违规行为。
- 该公司本应实施更强有力的安全措施来保护用户数据。
19.领英
2021年,领英因违反数据保护法被荷兰数据保护局罚款300万美元。
违规原因
该公司被指控在未经1800万非领英用户同意的情况下,使用他们的电子邮件地址在脸书上投放广告。
怎样才能避免呢?
- 在将非领英用户的数据用于广告投放目的之前,获得其明确同意。
- 该公司本可以实施更严格的数据保护政策,以确保用户数据不会被滥用。
20.目标 (Target)
2017年,塔吉特与47个州就2013年发生的数据泄露达成了1850万美元的诉讼和解。
违规原因
黑客进入塔吉特的支付系统,窃取了数百万客户的信用卡和借记卡信息,导致数据泄露。此次入侵是由塔吉特公司安全系统中的一个漏洞引起的,该漏洞允许黑客利用支付系统进行攻击。
怎样才能避免呢?
- 可以实施更好的安全政策
- 更好的发病率反应会有所帮助
21.万豪国际
2020年,万豪国际因违反GDPR规定,被英国信息专员办公室(ICO)罚款2380万美元。
违规原因
该公司被指控在2016年收购喜达屋酒店时未能进行适当的尽职调查,喜达屋酒店已经经历了数据泄露。此次入侵暴露了超过3.39亿客人的个人信息,包括姓名、地址、电话号码、电子邮件地址、护照号码和出生日期。
怎样才能避免呢?
- 在收购喜达屋酒店之前进行适当的尽职调查,并实施更强有力的安全措施来保护客户数据。
- 更快地应对违规行为,并就事件向客户提供更透明的沟通。
22.Premera蓝十字 (Premera Blue Cross)
2015年,总部位于美国的医疗保健公司Premera Blue Cross因2014年至2015年间发生的数据泄露被美国卫生与公众服务部罚款1000万美元。
违规原因
此次入侵暴露了1000多万个人的个人信息,包括姓名、地址、社会保障号码和健康信息。该公司被发现未能实施足够的安全措施来保护其系统并及时发现漏洞。
怎样才能避免呢?
- 定期进行安全审计和漏洞扫描。
- 培训员工正确的数据处理程序
- 制定应对计划,以快速发现违规行为并对其作出反应。
23.英国航空公司
2019年,英国航空公司因2018年发生的数据泄露事件被英国信息专员办公室(ICO)罚款2.3亿美元。
违规原因
此次入侵暴露了约50万名客户的个人信息,包括姓名、地址、支付卡详细信息和旅行预订详细信息。该公司被发现未能实施足够的安全措施来保护其系统,及时发现漏洞,并做出适当回应。
怎样才能避免呢?
- 脆弱性评估
- 对员工进行适当的安全实践培训
- 最后,确保支付卡信息的存储符合支付卡行业数据安全标准(PCI-DSS)
24.倡导医疗保健网络 (Advocate Health Care Network)
2016年8月,伊利诺伊州的非营利医疗系统Advocate Health Care Network因2013年至2014年间发生的多起数据泄露事件被罚款555万美元。
违规原因
这些违规行为是由四台未加密的笔记本电脑被盗和一台未加密台式电脑未经授权访问造成的,该电脑包含400多万患者的电子保护健康信息(ePHI)。
怎样才能避免呢?
- 实施策略和程序以保护包含敏感信息的电子设备,如加密和密码保护。
- 该公司本可以定期进行风险评估,并实施访问控制,以限制对敏感数据的未经授权访问。
25.安泰保险
2017年1月,安泰保险因在群发邮件中披露1.2万名会员的艾滋病毒状况而被罚款115万美元。
违规原因
Aetna向其成员发送了关于艾滋病毒药物可用性的信件,这些信件可以通过信封窗口看到,从而揭示了成员的艾滋病毒状况。
怎样才能避免呢?
- 采取措施确保其成员的医疗信息保密
- 实施员工培训计划,确保员工意识到保护敏感信息的重要性以及违反隐私法的潜在后果
26.国歌 (Anthem)
2015年,美国第二大健康保险公司Anthem因数据泄露泄露近8000万客户的个人信息而被罚款1.15亿美元。
违规原因
此次入侵发生在网络犯罪分子访问Anthem的数据库时,泄露了包括姓名、出生日期、社会安全号码和医疗ID在内的敏感个人信息。
怎样才能避免呢?
- Anthem本可以通过实施更强有力的网络安全措施来避免漏洞,如多因素身份验证、数据加密和定期安全审计。
27.国泰航空
2018年10月,总部位于香港的国泰航空因泄露940万乘客的个人信息而被香港隐私专员罚款500万港元(644000美元)。
违规原因
黑客访问了国泰航空的数据库,泄露了敏感的个人信息,包括姓名、国籍、护照号码、出生日期、电子邮件地址和信用卡信息。
怎样才能避免呢?
- 更安全的数据存储
- 更好的安全实践
- 定期风险评估
28.费森尤斯
2019年,世界上最大的透析产品和服务提供商之一费森尤斯北美医疗保健公司(FMCNA)同意支付350万美元,以解决有关其未能充分保护患者的电子保护健康信息(ePHI)并违反《健康保险便携性和责任法案》(HIPAA)安全规则的指控。
违规原因
卫生与公众服务部民权办公室(OCR)的一项调查发现,FMCNA未能实施适当的保障措施来保护ePHI,包括未能进行风险分析、实施风险管理计划、加密ePHI和解决已知的安全缺陷。
怎样才能避免呢?
- 实施有效的安全措施
- 定期重新评估
29.罗切斯特大学医学中心
2021年2月,罗切斯特大学医学中心(URMC)同意向美国卫生与公众服务部民权办公室(OCR)支付300万美元,原因是其可能违反《健康保险便携性和责任法案》(HIPAA)。
违规原因
OCR的调查发现,URMC在2013年至2017年间可能违反了HIPAA的安全和隐私规则。潜在违规行为与未能进行准确彻底的风险分析、未能实施足够的风险管理措施以及未能实施定期审查信息系统活动记录的程序有关。
怎样才能避免呢?
- 进行全面准确的风险分析
- 实施适当的风险管理措施
- 定期审查信息系统活动记录
- 此外,URMC本可以确保其政策和程序符合HIPAA的安全和隐私规则,并对其员工进行HIPAA合规培训。
30.马萨诸塞州眼耳医院
2019年,马萨诸塞州眼耳医院因违反《健康保险便携性和责任法案》(HIPAA)而被美国卫生与公众服务部罚款150万美元。
违规原因
该医院违反了HIPAA规定,允许员工在智能手机上使用文件共享应用程序,该应用程序在没有适当保护的情况下存储电子患者数据。这导致3500多名患者的个人健康信息(PHI)被曝光,包括姓名、地址、出生日期和医疗诊断。
怎样才能避免呢?
- 实施严格的政策,禁止使用未经授权的文件共享应用程序
- 为员工提供访问患者数据的安全工具。
- 此外,医院本可以定期进行安全风险评估,以识别和解决其系统和流程中的潜在漏洞。
31.CVS健康
2019年,CVS Health因违反HIPAA规定而被美国卫生与公众服务部罚款225万美元。
违规原因
该公司未能妥善处理在几个CVS药房外的垃圾桶中发现的患者数据,包括处方标签。这暴露了6000多名患者的PHI,包括姓名、地址、药物类型和处方号。
怎样才能避免呢?
- 实施适当的政策和程序来处理患者数据
- 培训员工如何正确处理敏感信息。
- 该公司本可以定期进行审计,以确保遵守HIPAA法规,并确定其数据隐私实践中的任何潜在差距。
32.安德森癌症中心医学博士
2018年2月,美国卫生与公众服务部民权办公室(OCR)因MD Anderson Cancer Center违反HIPAA规则,对其罚款430万美元。
违规原因
当一台未加密的笔记本电脑属于
癌症中心MD Anderson员工在住所被盗。该笔记本电脑包含33500多名患者的电子健康保护信息(ePHI),包括姓名、地址、社会保障号码和医疗信息。
怎样才能避免呢?
- 实施政策和程序,确保ePHI在所有介质中得到保护,包括笔记本电脑等便携式设备。
- 此外,该中心本可以确保所有包含ePHI的便携式设备在任何时候都是加密和安全的。
33.雅典骨科诊所
2016年6月,雅典骨科诊所支付了150万美元,以解决与数据泄露有关的集体诉讼。
违规原因
数据泄露发生在一名黑客访问诊所的计算机系统,泄露了20多万患者的个人和医疗信息。被盗信息包括姓名、地址、出生日期、社会保险号码和医疗诊断。
怎样才能避免呢?
- 实施更强有力的网络安全措施,如防火墙、入侵检测系统以及安全信息和事件管理(SIEM)系统,以保护其计算机系统。
34.小屋健康( Cottage Health)
2013年12月,Cottage Health在一次数据泄露暴露了大约50000名患者的机密医疗信息后,同意了412.5万美元的和解。
违规原因
Cottage Health未能更换一台易受黑客攻击的服务器,导致数千名患者的敏感数据暴露了近三个月。
怎样才能避免呢?
Cottage Health本可以采取更积极主动的措施来保护他们的数据,包括定期进行安全审计,并在发现漏洞后立即解决漏洞。
35.奥地利邮政
2019年,奥地利邮政因违反欧盟《通用数据保护条例》(GDPR)而被奥地利数据保护局罚款1800万欧元。
违规原因
该公司被发现在未经客户明确同意的情况下收集和处理个人数据,包括政治派别和宗教信仰。此外,该公司未能向客户提供有关其个人数据收集和处理的明确信息。
怎样才能避免呢?
- 确保其数据收集和处理实践符合GDPR。
- 获得客户对收集和处理其个人数据的明确同意,并提供有关这些做法的清晰简洁的信息。
- 本可以定期进行隐私影响评估,以识别和减轻任何潜在的隐私风险。
36.俄勒冈健康与科学大学(OHSU)
2021年,OHSU同意向美国卫生与公众服务部支付270万美元,以解决潜在的违反HIPAA的行为。
违规原因
该漏洞发生时,一台未加密的笔记本电脑从OHSU员工的车上被盗,该笔记本电脑包含3000多人的电子保护健康信息(ePHI)。
怎样才能避免呢?
- 保护所有启用ePHI的设备。
- 制定设备加密的政策和程序,并提供关于HIPAA隐私和安全的持续员工培训。
- OHSU本可以确保其员工充分意识到在OHSU设施外使用含有ePHI的便携式电子设备的风险。
37.Parkview健康
2019年,Parkview Health同意向HHS民权办公室支付80万美元,以解决潜在的违反HIPAA的行为。
违规原因
这起违规事件发生时,一名即将退休的医生将71个纸板箱的患者病历放在医生的车道上无人看管,后来被一名个人捡到,并将其出售给数据匹配服务。
怎样才能避免呢?
- 实施适当的政策和程序来处理包含PHI的纸质记录
- 确保其工作人员充分意识到无人看管患者记录的相关风险
38.寿命健康
2018年,罗德岛州的医疗保健提供商LifeSpan Health因数据泄露暴露了20000多名患者的个人信息而被罚款104万美元。
违规原因
此次入侵发生在一名员工的车上一台未加密的笔记本电脑被盗。笔记本电脑包含患者的个人信息,包括姓名、地址、出生日期和社会保障号码。
怎样才能避免呢?
- 实施更强的数据加密策略,确保所有敏感数据都经过加密,尤其是存储在便携式设备上时
- 更严格的安全协议,如多因素身份验证和监控对敏感数据的访问
39.21世纪肿瘤学
2016年,位于佛罗里达州的癌症治疗中心21世纪肿瘤学(21st Century Oncology)同意支付230万美元,以解决一项指控该公司未能保护患者数据免受网络攻击的诉讼。
违规原因
该公司被一名未经授权的用户入侵,该用户可以访问敏感的患者信息,包括社会安全号码、诊断和治疗。该漏洞影响了21世纪肿瘤科200多个治疗中心网络中约220万名患者。
怎样才能避免呢?
- 定期安全审计
- 网络监控
- 员工网络安全最佳实践培训。
- 加密敏感数据,访问权限仅限于那些工作需要的人
40.REWE国际
2020年2月,这家奥地利杂货连锁店因在其门店安装监控摄像头过度监控员工而违反《通用数据保护条例》(GDPR),被罚款3000万欧元(3300万美元)。
违规原因
该公司被指控在没有充分理由或正当理由的情况下收集员工数据,以及在未经适当同意的情况下处理敏感个人数据。这包括监控休息时间、上厕所和医疗信息。
怎样才能避免呢?
- 获得员工对使用其数据的明确同意,并且仅收集必要且与目的相称的数据。
- 在安装摄像头之前进行隐私影响评估,以确保其符合GDPR要求
41.荷兰税务和海关管理局
2020年1月,荷兰税务和海关管理局因未充分保护其在线门户网站而违反GDPR,导致数百万荷兰公民的个人信息被泄露,被罚款72.5万欧元(80万美元)。
违规原因
此次入侵是由于一名道德黑客发现了在线门户网站中的一个漏洞,并向当局报告了该漏洞。该漏洞允许未经授权访问敏感的个人数据,如社会安全号码、出生日期和银行账户详细信息。
怎样才能避免呢?
- 实施更强有力的安全措施来保护门户,如多因素身份验证、定期安全审计和敏感数据加密。
- 该机构本可以对道德黑客的报告做出更迅速的回应,并采取行动解决漏洞。
42.波士顿医疗中心
2019年,波士顿医疗中心同意向美国卫生与公众服务部民权办公室支付10万美元,以解决可能违反《健康保险便携性和责任法案》(HIPAA)的问题。和解之前,BMC分包商的员工对未经授权访问患者信息进行了调查。
违规原因
医院收到了电子邮件提供商的通知,发现了未经授权访问这些账户的证据。这些电子邮件帐户包含患者的姓名、出生日期、病历号码和健康保险信息。
怎样才能避免呢?
- 更严格的安全协议
- 员工培训
- 数据加密
43.宇宙移动电信(Cosmote Mobile Telecom)
2021年7月,希腊电信组织(OTE)的子公司Cosmote Mobile Telecom因违反《通用数据保护条例》(GDPR)被希腊数据保护局罚款800万欧元(950万美元)。
违规原因
该漏洞的发生是由于该公司正在使用的第三方应用程序的旧版本中存在漏洞。暴露的数据包括客户的姓名、家庭地址、电子邮件地址和电话号码。
怎样才能避免呢?
- 定期更新所有系统和应用程序,以确保它们是安全和最新的
- 定期进行安全审计并加强访问控制,以防止未经授权访问敏感客户数据
44.Excellus健康计划
2015年,Excellus健康计划遭遇数据泄露,影响了1000万人。该公司因违反《健康保险便携性和责任法案》(HIPAA)而被美国卫生与公众服务部(HHS)罚款510万美元。
违规原因
该漏洞发生于2013年12月至2015年5月期间的一系列网络攻击。攻击者访问了Excellus的IT系统,其中包含敏感的个人信息,如姓名、出生日期、社会保障号码、地址、电话号码和保险识别号。
怎样才能避免呢?
- 更强大的安全措施,如网络分割、访问控制和定期安全审计。
- 定期进行网络安全培训
45.Dixons车载电话
2018年1月,英国电子零售商Dixons Carphone遭遇大规模数据泄露,暴露了1000多万客户的个人和财务信息。
违规原因
该公司因未能实施足够的安全措施以及近一年未发现漏洞而受到批评。暴露的数据包括姓名、地址、电话号码、出生日期和电子邮件地址。此外,590万客户的支付卡详细信息被曝光。
怎样才能避免呢?
- 为了防止此类数据泄露,Dixons Carphone本可以实施更强有力的安全措施,如多因素身份验证、加密和防火墙。定期的安全审计也可以帮助该公司更快地发现漏洞,将损失降至最低。
46.谷歌
2019年3月,谷歌因滥用其在线广告主导地位违反反垄断法,被欧盟罚款17亿美元。
违规原因
欧盟指责谷歌要求网站独家使用其广告服务,从而阻止其竞争对手公平竞争。该公司的行为被视为反竞争行为,损害了消费者和竞争对手。
怎样才能避免呢?
- 谷歌本可以通过避免反竞争行为来避免欧盟的罚款
- 该公司本可以允许在线广告市场的公平竞争
- 谷歌本可以配合欧盟的调查
- 该公司本可以努力找到一个让所有相关方都满意的解决方案。
47.国家税务局(保加利亚)
2019年7月,保加利亚国家税务局遭遇网络攻击,导致几乎每个保加利亚公民的个人数据以及许多企业的记录被盗。
违规原因
此次网络攻击是由该机构使用的软件中的一个漏洞引起的,该漏洞使攻击者能够访问该机构的系统。被盗数据包括姓名、地址、社会安全号码和其他个人信息。
怎样才能避免呢?
- 实施更强有力的安全措施,包括定期进行漏洞评估和渗透测试。
- 确保使用的所有软件都是最新的和安全的。
48.Enel Energia公司
2017年3月,意大利能源公司Enel Energia因多次违反数据保护规定被意大利数据保护局罚款1150万欧元。
违规原因
Enel Energia被发现违反了多项数据保护法规,包括未获得处理个人数据的适当同意,以及未向客户提供有关数据处理活动的足够信息。
怎样才能避免呢?
- 实施适当的同意程序,并向客户提供有关如何处理其数据的明确信息。
- 确保所有系统和流程都遵守数据保护法规。
49.巴布瓦
2020年12月,西班牙数据保护局(AEPD)对BBVA处以500万欧元(约600万美元)的罚款,原因是其违反了数据保护法规。
违规原因
该银行被发现处理员工的个人数据违反了《通用数据保护条例》(GDPR)。具体而言,BBVA被发现在没有提供足够信息和获得有效同意的情况下,通过使用摄像头和跟踪设备对员工进行非法监控。
怎样才能避免呢?
- 确保获得员工对任何监控活动的有效同意,并提供有关此类监控目的的明确信息。
- 实施适当的安全措施来保护员工数据,如加密、访问控制和定期安全审计。
50.哥伦比亚大学医学中心
2019年6月,哥伦比亚大学医学中心同意支付950万美元,以解决违反HIPAA的指控。
违规原因
该医疗中心被发现违反了《健康保险便携性和责任法案》(HIPAA),未能保护数千名患者的电子保护健康信息(ePHI)。该违规行为是在2010年医疗中心报告数据泄露后发现的,该数据泄露影响了约6800名患者。
怎样才能避免呢?
- 实施适当的技术和管理保障措施来保护ePHI,例如访问控制、加密和定期安全风险评估。
- 确保员工定期接受HIPAA培训。
- 制定应对和报告数据泄露的政策和程序。
51.埃尼
2010年,意大利能源公司ENI因违反数据保护法而被意大利数据保护局(Garante per la protezione dei dati personali)罚款500万欧元。
违规原因
埃尼集团被指控违反了数据保护法规,未能确保采取足够的安全措施来保护个人数据,包括其员工的敏感数据,这些数据被未经授权的个人访问。黑客访问了该公司的服务器,窃取了包括银行账户详细信息和社会安全号码在内的员工机密信息,从而导致数据泄露。
怎样才能避免呢?
- 实施更强的数据保护措施,如加密、多因素身份验证和定期安全审计。
- 确保仅限授权人员访问敏感数据。
- 实施协议以快速检测和响应网络攻击。
结论
- 公司因数据泄露而遭受的惊人的经济处罚和声誉损害,清楚地提醒人们采取强有力的网络安全措施的重要性。
- 数据泄露不仅会损害个人的隐私和安全,还会对相关公司产生重大的财务和法律后果。随着世界变得越来越数字化和互联互通,数据泄露的风险只会增加。
- 有鉴于此,公司必须采取积极措施保护其网络和用户数据。
- 这包括投资于强大的加密、多因素身份验证和定期安全审计,以及确保员工在数据隐私和安全最佳实践方面训练有素。公司还应实施协议,以快速检测和应对网络攻击,并在数据泄露的情况下对客户保持透明。
