2019年,法国监管机构对 Google 处以 5000 万欧元的罚款,因为 Google 在未经用户同意的情况下擅自收集了用户的个人数据,并未提供充分透明度;
2019 年,英国信息委员会对英国航空公司 British Airways 处以 2,030 万英镑的罚款,因为该公司的网站和移动应用程序中存在安全漏洞,导致超过 50 万名用户的个人数据被盗取;
2020 年,英国信息委员会对万豪国际店集团处 以 1,010 万英镑的罚款,因为该公司在 2018 年发生的数据泄露中没有及时采取措施防止数据丢失,导致 339 万名客人的个人数据泄露;
2021年,德国监管机构对时尚品牌 H&M 处以 3500 万欧元的罚款,因为该公司在对员工进行监控时违反了 GDPR 的规定,导致员工的个人数据被非法收集和使用;
2022 年爱尔兰监管机构对美国社交媒体巨头脸书的母公司 Meta 处以 2.65 亿欧元(约19.7 亿人民币)的罚款。
2022 年,美国证券交易委员会(SEC)和商品期货交易委员会(CFTC)对多家全球金融机构因数据安全和记录保存不当实施了执法行动,其中摩根大通在 12 月因记录保存不当支付了 2 亿美元的罚款。
01 国外安全处罚,国内网安高潮
每每看到海外关于某个企业,因数据安全违规或者信息泄露,而遭受政府高额罚款的新闻,国内网安界就会上演一阵阵假性高潮。朋友圈里争相转发,奔走相告;各个安全媒体号,高举数据安全法的大旗,预测网安行业即将迎来高速发展的春天。
然而年年如此,岁岁如样,大家可如愿了 ?
除了时不时看到国内某个足浴店、网吧或者小区物业,被通报批评,甚至罚没 1 到 5 万大洋的新闻外,常见的就是某个银行的安全违规处罚。在银行等金融机构的处罚通报里,往往是一条“数据安全管理责任不到位“的描述,暧昧地跟在违规放贷、资质审核不严等业务违规操作通报的最后面。银行罚款倒是能上大几百万,但里面数据安全的占比是多少,明眼人不用想就能猜出一二。
甲方爸爸们请理解,我们网安乙方内心深处,真的翘首以盼,希望国家对你们罚一笔大的,中国整个网安行业真的都饿坏了。
02 企业做得太好了,没什么好罚的?
打开手机,看看每天你能接收到多少条营销短信?
数数每天接到多少个贷款、信用卡分期、厂房出租电话。
为什么刚聊天说了什么,各种短视频就给你推广告了?
企业负责人,每天要处理多少个银行备用金、办公室出租、代理记账、客户营销、行业展会、商标代理、政府补贴申报、代开发票、灵活用工、企业家 IP 打造、节目专访、专利申请、云计算折扣...的推销电话。我也想知道,到底是谁,泄露了我的电话!从完成企业注册的第一天起,我的电话就只为广告而存在了。
(就在写这段话的同时,就有人通过电话号码加到了我的微信)
每天全社会有多少电信诈骗,是因为刚在某电商平台买了东西,就被实时精准诈骗的?
03 罚款驱动的生意,咱们恐怕吃不上
数据安全关乎民生和社会治安,毋庸置疑。缅北的诈骗集团,都是长在违规采集和泄露的数据之上,其社会影响之大有目共睹。
然而中国的数据安全治理,却很难参照欧美一样,利用巨额罚款进行驱动治理,至少短则 3、5 年,长则 10 年内恐怕都不行。
数据安全和环境保护,有许多相似之处。经济发展的惯性一定推动着所有人都遵守,"先污染,再治理"的不可言说的规则。当我们还是以经济发展为主要目标和政府驱动力的时候,没有哪个地方政府会去处罚辖区内赚钱和贡献大额税收的企业。
即使有一天,中国经济全面超越美国,我们开始放缓 GDP 的 KPI,也要极其小心和约束地方政府重罚企业的政策和权利。中国数千年的人情文化,稍不注意控制,就容易扭曲权力。
因此无论如何,中国的网安企业,吃不到数据安全罚款的红利,也许永远都吃不到,这是有别于欧美的特色。摆正心态,调整期待。
04 摆在心态,调整期待
把自己的幸福,建立在他人的痛苦之上,本就是,一种变态。
凡是有技术和产品驱动理想的乙方,需要尽早放弃这种期待。
期待甲方被罚,从而被动购买更多安全乙方产品和服务,这个现实逻辑也是存在的,但其受益者是各个手握资质的评测机构、是已经进入合规目录的具体产品、是拥有某某院和各种控标资质的头部安全企业。
声明:本文来自连续创业的Janky,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。