上有政策下有對策。以前這些預設的資訊總是自由共享，但是此例新規出臺明確規定了保護範圍。

但對於企業來說，也並非沒有解決之道，比如聘請一名律師撰寫一篇眼花繚亂內容亢長修辭生澀的使用者需知，在其中注入共享隱私資訊等內容條款，並且明確閱讀過使用者需知後才能使用軟體。這樣只要這家企業太作死把問題搞大了，那麼其客戶的隱私資訊還是能在第一時間就掌握到的。

我之前有分享過三個文章，你看看：

IT行業衝擊波｜史上最嚴資料保護條例GDPR生效：https://www.toutiao.com/i6564720881749197325/

從資料出發｜GDPR應對措施：https://www.toutiao.com/i6565624040059306509/

從連接出發｜GDPR合規思考：https://www.toutiao.com/i6577592878753645064/

隨著歐盟具有里程碑意義的《通用資料保護條例（簡稱GDPR）》全面開放超過八個月之後，其引發的一大實質性影響已經得到廣泛認可：相較於開誠佈公，遮掩安全事件反而會引發更加誇張的經濟損失。

作為眾多目標中的核心一條，GDPR要求各類組織機構在發現安全違規行為之後的72小時之內對其進行報告。如果未能及時履行要求，那麼相較於懲罰性制裁，安全違規事件本身的損失反而可以忽略不計。

考慮到這一法規才剛剛生效，我們無法確切統計出究竟有多少級原本“忘記”上報問題的組織開始積極地公佈違規事件。然而，根據國際律師事務所DLA Piper上公佈的近60000起數字來看，由此引發的影響已然可見一斑。

迄今為止數額最大的罰款當數幾周之前指向谷歌的制裁結果，總數字為5000萬歐元（摺合5700萬美元，目前其正在尋求上訴）。很明顯，這樣的數字對於谷歌這家年收入超過1100億美元的企業而言實際是太低——無論如何計算，也遠遠達不到全球收入4%的水平。除此之外，監管機構實際只徵收了91筆罰款，比例還不到已上報違規活動的1%，而且其中大部分罰款數額甚至還不足2萬歐元。

但這一切有可能在不久的未來發生變化。DLA Piper事務所報告稱，“到目前為止，相較於監管機構有權做出的最高罰款比例相比，實際罰款水平一直相當低。然而，我們預計隨著監管機構對故意拖延發布GDPR資料洩露事件行為的關注，2019年年內有可能出現數千萬甚至數億歐元的罰款。”

根據其釋出的報告，“監管機構的處理能力已經捉襟見肘，而且其收件箱中仍然存在著大量積壓的已通報洩露事件。因此可以想見，在對自身資源進行分配時，關注影響更大、更為重要的安全問題將成為其高優先順序事務。因此，很多組織實際上是在兩難之間糾結——到底是對洩露事件進行及時上報，還是靜靜觀察監管機構到底會採取怎樣的行動，或者是否會採取行動。”

由於這項新法律才剛剛頒佈不到一年，各監管機構也許還沒弄清楚哪些屬於大資料隱私問題，而哪些只是常見的小毛病。他們還有很大的完善空間，因此在順利弄清楚各類上報事件隨時間推移所對應的實際後果之前，他們並不打算輕率地徵收太高或太低的罰款數額。開創先例無疑充滿風險，他們確實不應該在剛起步時就用力過猛。

歐盟委員會公佈的官方洩露通報數量遠遠低於DLR Piper報告中的水平：從2018年5月25日到2019年1月28日期間，總事件上報數量為41502起。

不過這一數字僅涵蓋總計28個歐盟成員國當中的21個，挪威、冰島與列支敦斯登並沒有被列入其中——這些國家雖然在政治上不屬於歐盟，但由於隸屬於歐洲經濟區（簡稱EEA），因此同樣應當受到監管。

DLA Piper公司統計出的洩露事件通報總量為59430起，其中荷蘭、德國與英國分別為15400起、12600起以及10600起成為榜上三甲。荷蘭的通報比例最高，每10萬人口中的上報安全事件為89.8起，緊隨其後的分別為愛爾蘭以及丹麥。

當然，GDPR的既定目標不僅僅在於徵收罰款，而更多希望敦促收集使用者個人資料的組織能夠切實肩負起保護與保密等義務。就目前來看，我們恐怕還很難判斷這一深層次目標到底能否順利實現。