Lucian Constantin 徐盛华

盡管欧洲正在实施更严厉的违规通知规则，但与2017年相比，去年公布的数据违规数量有所减少。受影响的敏感记录数量也下降了三分之一以上，从79亿条记录下降到大约50亿条。

安全情报公司 Risk Based Security （RBS）的最新一份报告显示， 去年有超过 6500 起数据泄露案件发生，其中有三分之二源自企业部门。政府部门占13.9%，医疗部门占13.4%，教育部门占6.5%。

RBS收集和分析的数据表明，大规模的违规行为仍然在持续发生，事实上，对人们的隐私权影响最大。去年，共有12起超1亿条或更多敏感记录被曝光的违规事件发生，这些违规事件所泄露的数据占2018年所有曝光记录的74%。

迄今为止最大的泄露事件是涉及印度国民身份证的数据库，称为Aadhaar。该事件于2018年3月被报道，共曝光了近12亿印度公民的身份证号码、地址、电话号码、电子邮件地址、邮政编码和照片等。

其他大型违规行为包括黑客获取了储存在万豪喜达屋宾客预订数据库中的3.83亿条会员记录，以及华珠酒店集团的2.4亿条宾客记录。

一些违规行为不是黑客利用安全漏洞所造成的结果，而是数据在网络上公开访问的安全疏忽造成的。市场营销公司Exactis就是这样，由于数据库配置错误，该公司泄露了2.3亿成年人的个人信息和1.1亿商业联系人信息。

另一个常见的违规原因是欺诈或社交工程，公司内部人员故意或意外地与未经授权的第三方共享数据。政治咨询公司剑桥分析通过第三方应用程序从8700万Facebook用户资料中获取数据就属于此类事件。

黑客仍然是最大的泄露原因

根据RBS的分析，黑客攻击是去年数据泄露的最常见原因，对4508起事件负有直接责任。其次是网络略读（453）、网络相关泄露（268）、网络钓鱼（177）和恶意软件（160）。

查看每种违规类型的泄露记录数量，最高是web类别占39%，其次是黑客攻击占28%，欺诈占25%，数据处理不当占7%。

"在2017年之前，黑客攻击是最常见的破坏类型，其占泄露记录数量比例最高。这一趋势在2017年开始发生变化，web取而代之并一直保持在首位。"报告称。

大多数违规行为（5433起）是外部威胁载体造成的，其中925起是恶意和意外的，157起是未知原因。也就是说，有内部因素的漏洞，如配置错误的服务和其它数据处理错误，泄露的记录比黑客窃取的记录要多得多：26亿条vs 17亿条。

数据泄露发现和报告之间的平均天数为49.6天，与2017年相比略有增加。考虑到企业对此感到的担忧，去年在欧洲生效的《通用数据保护条例》（GDPR）要求在发现违规行为后72小时内向监管机构报告。

然而，值得注意的是，72小时的窗口仅用于向监管机构报告，而不是向公众报告。公司只有在存在高伤害风险时才有义务通知受影响的个人。由于RBS的报告是基于对公开披露的违规行为的分析，这可能是GDPR对观察到的平均报告时间几乎没有影响的原因。

2019年，RBS计划深入研究外部或内部如何发现违规行为与机构披露违规行为所需时间之间的关系。这家公司说："那些能够更好地发现违规行为的机构也会更好地做好应对准备。"

Lucian Constantin 是IDG News的记者。他撰写有关信息安全、隐私和数据保护的文章。