نقض داده و قوانین مربوط به آن
نقض داده (data breach) هر حادثه امنیتی است که در آن اشخاص غیرمجاز به دادههای حساس یا اطلاعات محرمانه دسترسی پیدا میکنند که خطرات و عواقبی را در پی دارد.
نقض داده (data breach) هر حادثه امنیتی است که در آن اشخاص غیرمجاز به دادههای حساس یا اطلاعات محرمانه، از جمله دادههای شخصی (شماره بیمه، شماره حساب بانکی و…) یا دادههای شرکتی (سوابق دادههای مشتری، مالکیت معنوی، اطلاعات مالی و…) دسترسی پیدا میکنند.
اصطلاحات «نقض داده» و «نقض» اغلب به جای «حمله سایبری» استفاده میشوند. اما همه حملات سایبری نقض داده نیستند و همه نقضهای داده نیز حملات سایبری محسوب نمیشوند. نقض دادهها فقط شامل آن دسته از نقضهای امنیتی است که در آنها محرمانه بودن دادهها به خطر میافتد. بنابراین، مثلاً یک حمله انکار سرویس توزیع شده (DDoS) که یک وب سایت را تحت تأثیر قرار میدهد، نقض داده نیست، اما حمله باجافزاری که دادههای مشتریان شرکت را قفل میکند و در صورت عدم پرداخت باج، تهدید به فروش آن میکند، نقض داده است. سرقت فیزیکی هارد دیسکها، درایوها یا حتی فایلهای کاغذی حاوی اطلاعات حساس نیز همینطور است.
نقض داده، یک مسئله جدی
طبق گزارش IBM Cost of a Data Breach، متوسط هزینه جهانی نقض دادهها در سال 2023، مبلغ 4.45 میلیون دلار بود که افزایش 15 درصدی را در طول 3 سال نشان میدهد. سازمانها در هر نوع و اندازهای از جمله مشاغل بزرگ و کوچک، شرکتهای دولتی و خصوصی، دولتهای فدرال، ایالتی و محلی، سازمانهای غیر انتفاعی در برابر نقض آسیب پذیر هستند، اما پیامدهای نقض داده به ویژه برای سازمانهایی که در زمینههای مالی و بخش عمومی فعالیت میکنند، شدیدتر است.
قانون گزارشدهی رویدادهای سایبری ایالات متحده برای زیرساختهای حیاتی (CIRCIA) سازمانهای امنیت ملی، امور مالی و سایر صنایع تعیینشده را ملزم میکند تا حوادث امنیت سایبری را که بر دادههای شخصی یا عملیات تجاری تأثیر میگذارد، ظرف مدت 72 ساعت به وزارت امنیت داخلی گزارش دهند.
همچنین مقررات حفاظت از دادههای عمومی (GDPR) شرکتهایی را که با شهروندان اتحادیه اروپا تجارت میکنند ملزم میکند که ظرف 72 ساعت به مقامات از نقضها اطلاع دهند. طبق برآورد این گزارشدهی و سایر مسئولیتهای پس از نقض مانند پرداخت جریمهها، تسویه حسابها و هزینههای قانونی تا ارائه نظارت رایگان برای مشتریان آسیبدیده به طور متوسط برای قربانی نقض دادهها 1.49 میلیون دلار هزینه دارد.
چرا نقض دادهها اتفاق میافتد؟
نقض دادهها میتواند ناشی از موارد زیر باشد:
-اشتباهات: به عنوان مثال، یک کارمند اطلاعات محرمانه را برای شخص اشتباهی ایمیل میکند.
-بدخواهی: کارمندان عصبانی یا اخراجی یا یک کارمند حریص که مستعد رشوه و انجام اعمال ضد سازمان است، ممکن است نسبت به انتشار دادهها اقدام کند.
-هکرها: افراد مخرب خارجی مرتکب جرایم سایبری عمدی برای سرقت دادهها میشوند.
بیشتر حملات مخرب با انگیزه سود مالی انجام میشود. هکرها ممکن است شماره کارت اعتباری، حسابهای بانکی یا سایر اطلاعات مالی را به سرقت ببرند تا مستقیماً از مردم و شرکتها پول بگیرند. آنها ممکن است اطلاعات هویتی شخصی مانند شمارههای امنیت اجتماعی و شماره تلفن را برای سرقت هویت (جهت گرفتن وام و باز کردن کارتهای اعتباری به نام قربانیان) یا برای فروش در دارک وب به سرقت ببرند. همچنین مجرمان سایبری ممکن است اطلاعات شخصی یا اعتبار سرقت شده را به سایر هکرها در دارک وب بفروشند که ممکن است از آنها برای اهداف مخرب خود استفاده کنند. نقض دادهها ممکن است اهداف دیگری داشته باشد. برخی از سازمانها ممکن است اسرار تجاری را از رقبا بدزدند. برخی از نقضها کاملاً مخرب هستند و هکرها به دادههای حساس دسترسی پیدا میکنند تا آنها را از بین ببرند.
چگونه نقض دادهها اتفاق میافتد؟
طبق گزارش Cost of a Data Breach 2022، متوسط چرخه عمر نقض دادهها 277 روز است، به این معنی که شناسایی و مهار یک نقض فعال برای سازمانها به همین اندازه طول میکشد.
نقض عمدی داده ناشی از عوامل تهدید داخلی یا خارجی از همان الگوی اساسی پیروی میکند:
-تحقیق: هکرها در خصوص یک هدف به دنبال نقاط ضعفی میگردند که میتوانند در سیستم کامپیوتری هدف یا کارمندان از آنها سوء استفاده کنند. همچنین آنها ممکن است بدافزار اطلاعاتی را که قبلاً به سرقت رفتهاند را خریداری کنند که به آنها امکان دسترسی به شبکه هدف را میدهد.
-حمله: با شناسایی یک هدف و روش، هکر حمله را انجام میدهد. هکر ممکن است یک کمپین مهندسی اجتماعی را آغاز و به طور مستقیم از آسیبپذیریها در سیستم هدف سوءاستفاده و از اعتبارنامههای ورود به سیستم به سرقت رفته استفاده و یا از هر یک از دیگر حمله نقض اطلاعات رایج استفاده کند.
-به خطر انداختن دادهها: هکر دادهها را دنبال کرده و اقدام خود را در این راستا انجام میدهد. این مورد ممکن است به معنای استخراج دادهها برای استفاده یا فروش، از بین بردن دادهها، قفل کردن دادهها با باج افزار و درخواست پرداخت باشد.
پیشگیری و کاهش نقض دادهها
-اقدامات امنیتی استاندارد: ارزیابی منظم آسیبپذیری، بکاپ یا پشتیبانگیری برنامهریزیشده، رمزگذاری دادهها، پیکربندی صحیح پایگاه داده، استفاده به موقع از سیستمها و نرمافزارها میتواند به جلوگیری از نقض دادهها کمک کند. اما امروزه سازمانها ممکن است کنترلها، فناوریها و بهترین شیوههای امنیتی دادهها را برای جلوگیری بهتر از نقض دادهها و کاهش آسیبهای ناشی از آن اعمال کنند.
-هوش مصنوعی و اتوماسیون: گزارش Cost of a Data Breach 2022 نشان داده است که سازمانها از سطوح بالایی از هوش مصنوعی و اتوماسیون برای تشخیص تهدید و پاسخ استفاده میکنند، میانگین هزینه نقض داده 55.3 درصد کمتر از سازمانهایی است که سطوح پایینتری از آن فناوریها را به کار میگیرند. -آموزش کارکنان: از آنجایی که مهندسی اجتماعی و حملات فیشینگ دلایل اصلی نقض هستند، آموزش کارکنان برای شناسایی و اجتناب از این حملات میتواند خطر نقض دادهها را در شرکت کاهش دهد. علاوه بر این، آموزش کارمندان برای مدیریت صحیح دادهها میتواند به جلوگیری از نقض و نشت دادهها کمک کند.
-مدیریت هویت و دسترسی: خطمشیها و مدیریت رمز عبور، احراز هویت دو یا چند مرحلهای، ورود به سیستم واحد (SSO) و دیگر فناوریها و شیوههای مدیریت هویت و دسترسی میتوانند به امنیت سازمانها در برابر هکرها کمک کنند.
-رویکرد امنیتی بدون اعتماد: یک رویکرد امنیتی بدون اعتماد، رویکردی است که هرگز به همه کاربران یا موجودیتها، چه خارج یا در داخل شبکه، اعتماد نمیکند و به طور مداوم تأیید میکند.
-احراز هویت، مجوز و اعتبار مستمر: هر کسی یا هر چیزی که سعی در دسترسی به شبکه یا منبع شبکه دارد، در معرض خطر تلقی میشود و برای به دست آوردن یا حفظ دسترسی، باید احراز هویت، مجوز و اعتبارسنجی مستمر را پشت سر بگذارد.
-حداقل دسترسی ممتاز: پس از تأیید موفقیت آمیز، به کاربران یا نهادها کمترین سطح دسترسی و مجوزهای لازم برای تکمیل وظیفه یا انجام نقش خود داده میشود.
-نظارت جامع بر تمام فعالیتهای شبکه: پیادهسازیهای بدون اعتماد مستلزم مشاهده همه جنبههای اکوسیستم شبکه ترکیبی یک سازمان، از جمله نحوه تعامل کاربران و نهادها با منابع بر اساس نقشها و نقاط آسیبپذیری است.
این کنترلها میتوانند با شناسایی و توقف حملات سایبری در همان ابتدا، و با محدود کردن حرکت و پیشرفت هکرها، به خنثی کردن نقض دادهها و سایر حملات سایبری کمک کند.
قوانین نقض داده در ایالات متحده
هسته اصلی قوانین نقض دادهها که در مورد جمعآوری، ذخیره و پردازش دادههای شخصی اعمال میشود تقریباً در هر ایالت مشابه است.
با این حال، هر ایالت در تلاش برای محافظت بهتر از منافع شهروندان خود، تغییرات خاصی در قوانین خود اعمال میکند.
در این مقاله فقط دو ایالات را بررسی خواهیم کرد، ولی دیگر ایالات نیز به همین صورت موارد خاص خود را دارند.
آلاباما
طبق قانون اعلان نقض دادههای آلاباما در سال 2018 شرکتها باید افراد را از نقض دادهها مطلع کنند. کسب و کارها باید تدابیر امنیتی را برای محافظت از اطلاعات شناسایی شخصی ارائه دهند، مانند تعیین یک کارمند برای هماهنگی این اقدامات امنیتی، توسعه رویههایی برای شناسایی خطرات ناشی از نقض امنیت داخلی یا خارجی، تطبیق اقدامات امنیتی با تغییرات در شرایطی که ممکن است بر امنیت سیستم تأثیر بگذارد.
اطلاعیه به افراد
افرادی که احتمال دارد از این نقض آسیب ببینند باید ظرف 45 روز به صورت کتبی مطلع شوند، مگر در مواردی که میتواند در تحقیقات جنایی یا امنیت ملی تداخل ایجاد کند. اعلامیهها باید به آدرس پستی آنها یا از طریق ایمیل ارسال شوند. اگر هزینههای اعلان بسیار زیاد باشد (بیش از 500000 دلار) یا اطلاعات کافی برای اطلاع رسانی به یک فرد وجود نداشته باشد، ممکن است از روشهای دیگر اطلاع رسانی استفاده شود. اگر تعداد افراد تحت تأثیر بیش از 100000 نفر باشد، شرکت ممکن است اطلاعیهای را در وب سایت خود یا در رسانههای چاپی قرار دهد.
اطلاعیه به رگولاتورها یا قانونگذاران
در صورت تماس با بیش از 1000 نفر از ساکنان آلاباما پس از نقض امنیتی، دفتر دادستان کل آلاباما و همه آژانسهای گزارش مصرف کننده باید مطلع شوند.
اطلاعات تحت پوشش
اطلاعات تحت پوشش، نام و نام خانوادگی یک فرد با یک یا چند مورد از موارد زیر است:
-شماره تأمین اجتماعی، شماره شناسه مالیاتی، شماره گواهینامه رانندگی، شماره کارت شناسایی، یا هر شماره شناسایی دیگری که برای تأیید هویت استفاده میشود.
-شماره حسابهای مالی (با هر گونه اطلاعات مورد نیاز برای دسترسی به آنها)
-اطلاعات در مورد سابقه سلامتی یک فرد
-نام کاربری یا آدرس ایمیل با رمز عبور یا پرسش و پاسخ امنیتی
جریمهها
مشاغلی که از این الزامات پیروی نمیکنند مشمول مقررات بخش 8-19-11، کد 23 آلاباما 1975، تا سقف 2000 دلار به ازای هر تخلف هستند که از 500000 دلار برای هر تخلف تجاوز نمیکند.
آلاسکا
تعریف نقض امنیتی در آلاسکا هر گونه ورود غیرمجاز به داده که امنیت، یکپارچگی یا محرمانه بودن اطلاعات تحت پوشش را به خطر میاندازد.
اطلاعیه به افراد
اگر تخمین زده شود که افراد از نقض داده آسیب میبینند، باید فوراً به آنها اطلاع داده شود، مگر در مواردی که ممکن است در تحقیقات جنایی اختلال ایجاد کند. اعلامیهها باید به صورت کتبی به آدرسهای پستی یا در صورت لزوم به صورت الکترونیکی ارسال شوند.
اطلاعیه به رگولاتورها
اگر قرار است بیش از 1000 نفر از ساکنان در مورد نقض مطلع شوند، باید بلافاصله به همه آژانسهای گزارش اعتبار مصرف کننده اطلاع داده شود. این اعلانها باید زمان، توزیع و محتوای اعلانهای ارسال شده به ساکنان را مشخص کنند.
اطلاعات تحت پوشش
اطلاعات تحت پوشش شامل نام و نام خانوادگی و یک یا چند مورد از موارد زیر است:
-شماره تامین اجتماعی
-گواهینامه رانندگی یا شماره کارت شناسایی دولتی
-حساب مالی
-شماره کارت اعتباری یا نقدی (به همراه کدهای امنیتی یا دسترسی مورد نیاز)
-گذرواژهها و سایر اطلاعات دسترسی به حسابهای مالی
جریمهها
سازمانهای دولتی باید جریمههای 500 دلاری را برای هر نفر بپردازند که حداکثر مبلغ کل آن تا 50000 دلار است. اگر آژانس مسئول هرگونه تخلف دیگری باشد، این مبلغ ممکن است حتی بیشتر شود.
جریمهها و مجازاتهای نقض داده در کشورهای آسیایی
بسیاری از دولتها و سازمانها سیاستها و مقرراتی را برای محافظت از یکپارچگی دادهها و حریم خصوصی عمومی وضع میکنند. شرکتهایی که از این مقررات پیروی نمیکنند با جریمهها و مجازاتهای سنگینی برای نقض اطلاعات روبهرو هستند.
بر اساس گزارش سازمان ملل، 137 کشور از 194 کشور قوانینی را برای حفاظت از دادهها و حریم خصوصی وضع کردهاند. در این بخش برخی از جریمههای نقض داده را در چند کشور بررسی میکنیم.
سنگاپور
سنگاپور کشوری جزیرهای است که در انتهای جنوبی شبه جزیره مالایا قرار دارد. این کشور میزبان یکی از بزرگترین بنادر جهان و یکی از پیشروترین پالایشگاههای نفت در جهان است.
قوانین و مقررات داده
قانون حفاظت از دادههای شخصی سنگاپور در سال 2012 شامل الزامات مختلفی است که بر جمعآوری، استفاده، افشا و مراقبت از دادههای شخصی حاکم است. PDPA دادههای شخصی ذخیره شده در قالبهای الکترونیکی و غیر الکترونیکی را پوشش میدهد.
سازمانهای تحت PDPA تعهداتی در قبال کاربران دارند که عبارتند از:
-مسئولیت پذیری برای حفاظت از دادهها
-آگاه کردن افراد
-اطمینان از دقیق و کامل بودن دادههای شخصی جمع آوری شده
-تضمین امنیت معقول برای محافظت از دادههای شخصی
-ایجاد محدودیت در انتقال دادهها
-اطلاع رسانی فوری در صورت نقض دادهها
مقررات حفاظت از دادههای شخصی (اعلان نقض دادهها) در سال 2021 همچنین حکم میدهد که سازمانها تمایل دارند همه کاربران را از نقض دادههایی که ممکن است بر آنها تأثیر بگذارد مطلع کنند. PDPC قدرت زیادی در سنگاپور بر سازمانها دارد.
در اول اکتبر 2022، مجازاتهای مالی افزایش یافته تحت PDPA سنگاپور اجرایی شد. این موارد به PDPA اجازه میدهد تا جریمههای مالی تا سقف 1 میلیون دلار سنگاپور (SGD) یا 10٪ از گردش مالی سالانه یک سازمان در سنگاپور را برای نقض مقررات حفاظت از دادهها تحت PDPA سنگاپور اعمال کند.
به عنوان مثال کمیسیون حفاظت از دادههای شخصی سنگاپور جریمه 62400 دلار سنگاپور را علیه Eatigo International در رابطه با نقض دادههای سال 2020 که بر 2.76 میلیون نفر تأثیر گذاشته است، اعلام کرد یا به عنوان مثالی دیگر PDPC شرکت املاک و مستغلات OrangeTee & Tie را 37000 SGD به دلیل کوتاهی در محافظت از اطلاعات شخصی حساس هزاران مشتری، در نقض اطلاعات در سال 2021 را جریمه کرد.
مالزی
قوانین و مقررات داده
اداره حفاظت از دادههای شخصی مالزی (PDPD) برای نظارت بر پردازش دادههای شخصی افراد درگیر در معاملات تجاری ایجاد شد.
بر اساس PDPA، کاربران در برابر هرگونه سوء استفاده در ذخیره یا پردازش دادههای شخصی افراد محافظت میشوند.
استاندارد حفاظت از دادههای شخصی 2015 شامل استانداردهای امنیتی، حفظ و استانداردهای یکپارچگی داده است. این موارد در مورد دادههای شخصی که به صورت الکترونیکی و غیر الکترونیکی پردازش میشوند، اعمال میشود.
عدم رعایت PDPA ممکن است به عنوان یک جرم کیفری باشد. نقض هر یک از هفت اصل حفاظت از دادهها، جریمهای تا 300000 رینگیت مالزی (واحد پول مالزی با نماد MYR) و/یا تا 2 سال حبس دارد.
جمع آوری، افشا و فروش غیرقانونی دادههای شخصی جریمهای تا سقف 500000 رینگیت و/یا حداکثر سه سال حبس را به دنبال دارد. چندین قانون و مقررات کلیدی دیگر برای حفظ حریم خصوصی دادهها در مالزی برای محافظت از کاربران در حال اجرا هستند.
اندونزی
قوانین و مقررات داده
قانون شماره 27 حفاظت از دادههای شخصی اندونزی در سال 2022 تصویب شد. قانون PDP مسئولیتهایی را برای پردازش دادههای شخصی و حقوق افراد تعیین میکند. همچنین قانون PDP به طور گسترده بخش خدمات مالی را مستثنی میکند.
قانون الزامات سخت گیرانهتری را بر کنترل کنندهها تحمیل میکند و مقررات منحصر به فردی برای استفاده از فناوریهای تشخیص چهره دارد.
دستهبندیهای ویژه دادهها به صراحت شامل دادههای کودکان و دادههای مالی شخصی است. برای درخواستهای موضوع داده خاص، مانند دسترسی، اصلاح و محدودیت، سازمانها فقط ۷۲ ساعت فرصت دارند تا پاسخ دهند.
قانون PDP سیستمی را برای مجازاتهای اداری اعمال میکند؛ از جمله مجازاتهای مدنی و کیفری که بسته به شدت مجازات افزایش مییابد.
فیلیپین
قوانین و مقررات داده
قانون جمهوری شماره 10173 – یا قانون حفظ حریم خصوصی دادهها در سال 2012 – قانونی است که به دنبال محافظت از همه اشکال اطلاعات خصوصی یا حساس است. این قانون شامل اشخاص حقیقی و حقوقی درگیر در پردازش اطلاعات شخصی میشود.
این قانون همچنین سیاست دولت را برای محافظت از حقوق اساسی انسان در خصوص حریم خصوصی ارتباطات و در عین حال تضمین جریان آزاد اطلاعات با هدف ارتقای نوآوری و رشد، اجرا میکند.
دولت نقش حیاتی برای تضمین حفاظت و امنیت دادههای شخصی در بخش خصوصی و عمومی دارد.
مجازاتهای ارائه شده در قانون و IRR آن از شش ماه تا هفت سال حبس همراه با جریمههایی از 100000 پزوی فیلیپین (PHP) تا 5 میلیون PHP، بر اساس اینکه آیا اطلاعات شخصی معمولی یا حساس در آن دخیل هستند، متغیر است.
علاوه بر این، بسته به هویت مجرم و تعداد افراد تحت تأثیر داده، ممکن است مجازاتهای اضافی اعمال شود.
تایلند
قوانین و مقررات داده
قانون حفاظت از دادههای شخصی تایلند (PDPA) شامل پردازش، جمعآوری، ذخیرهسازی دادهها و پروتکلهای رضایت داده است. این قانون مقرر میدارد که کنترلکنندهها و پردازشکنندگان داده که از دادههای شخصی استفاده میکنند باید رضایت صاحبان دادهها را دریافت کنند و از آن فقط برای اهداف بیان شده استفاده کنند.
PDPA تایلند برای عدم رعایت تا 5 میلیون بات تایلند (THB) جریمه اداری و تا 1 میلیون بات در جریمههای جنایی مجازات تعیین میکند. تعهدات حفاظت از دادهها شامل همه سازمانهایی میشود که دادههای شخصی را در تایلند، استفاده یا افشا میکنند.
GDPR چیست؟
مقررات عمومی حفاظت از دادهها (General Data Protection Regulation)، به اختصار GDPR مقررات اتحادیه اروپا در مورد حریم خصوصی اطلاعات و منطقه اقتصادی اروپا (EEA) است. GDPR جزء مهم قانون حریم خصوصی اتحادیه اروپا و قانون حقوق بشر، به ویژه ماده 8 (1) منشور حقوق اساسی اتحادیه اروپا است.
GDPR را میتوان قویترین مجموعه قوانین حفاظت از دادهها در جهان در نظر گرفت، که نحوه دسترسی افراد به اطلاعات مربوط به آنها را بیان میکند و محدودیتهایی را برای آنچه سازمانها میتوانند با دادههای شخصی انجام دهند، ایجاد میکند. متن کامل GDPR شامل 99 مقاله جداگانه است.
این مقررات به عنوان چارچوبی برای قوانین در سراسر قاره وجود دارد و جایگزین دستورالعمل قبلی حفاظت از دادهها در سال 1995 شد. شکل نهایی GDPR پس از بیش از چهار سال بحث و مذاکره به وجود آمد و در آوریل 2016 توسط پارلمان و شورای اروپا به تصویب رسید. همچنین مقررات و دستورالعمل زیربنایی در پایان همان ماه منتشر شد.
GDPR در 25 می 2018 به اجرا درآمد و به کشورهای اروپایی این امکان داده شد که تغییرات کوچک خود را مطابق با نیازهای خود ایجاد کنند.
قوت GDPR باعث شده است که آن را به عنوان یک رویکرد مترقی در مورد نحوه استفاده از دادههای شخصی افراد تحسین کرده و با قانون بعدی حفظ حریم خصوصی مصرف کنندگان کالیفرنیا مقایسه شده است.
GDPR برای چه کسانی اعمال میشود؟
قلب GDPR مرکز دادههای شخصی است. به طور کلی، این اطلاعاتی است که به یک فرد اجازه میدهد به طور مستقیم یا غیرمستقیم از روی دادههای موجود شناسایی شود. این مورد میتواند چیزی واضح باشد، مانند نام شخص، دادههای موقعیت مکانی، یا یک نام کاربری آنلاین یا چیزی مانند آدرسهای IP و شناسههای کوکی که میتوان به عنوان دادههای شخصی در نظر گرفت.
تحت نظر GDPR نیز چند دسته خاص از دادههای شخصی حساس وجود دارد که از آنها محافظت بیشتری میشود. این دادههای شخصی شامل اطلاعاتی درباره منشاء نژادی یا اخلاقی، عقاید سیاسی، اعتقادات مذهبی، عضویت در اتحادیهها، دادههای ژنتیکی و بیومتریک، اطلاعات بهداشتی و دادههای مربوط به زندگی جنسی یا جهتگیری فرد است.
اصول کلیدی GDPR چیست؟
در هسته GDPR هفت اصل کلیدی وجود دارد که در ماده 5 قانون تنظیم و برای راهنمایی نحوه مدیریت دادههای افراد طراحی شدهاند. آنها به عنوان قوانین سخت عمل نمیکنند، بلکه به عنوان یک چارچوب فراگیر که برای طرح اهداف کلی GDPR طراحی شده است، عمل میکنند. این اصول تا حد زیادی همان اصولی است که در قوانین قبلی حفاظت از داده وجود داشت.
به حداقل رساندن دادهها
اصل به حداقل رساندن دادهها جدید نیست، اما در عصری که اطلاعات بیشتری از همیشه ایجاد میکنیم، همچنان مهم است. سازمانها نباید اطلاعات شخصی بیش از نیاز خود را از کاربران خود جمع آوری کنند.
این اصل به گونهای طراحی شده است که اطمینان حاصل شود که سازمانها در مورد نوع دادههایی که در مورد افراد جمع آوری میکنند زیاده روی نمیکنند. برای مثال، بسیار بعید است که یک خردهفروش آنلاین نیاز به جمعآوری نظرات سیاسی افراد در هنگام ثبت نام باشد.
«تخریب، از دست دادن، تغییر، افشای غیرمجاز یا دسترسی» دادههای افراد باید به تنظیمکننده حفاظت از دادههای کشور گزارش شود، جایی که میتواند تأثیر مخربی بر کسانی که زیرمجموعه آن هستند، داشته باشد. این مورد میتواند شامل ضرر مالی، نقض محرمانه، آسیب به شهرت و موارد دیگر باشد، اما محدود به آن نیست. در بریتانیا، ICO باید 72 ساعت پس از اطلاع سازمان از نقض دادهها مطلع شود. یک سازمان همچنین باید تأثیرات نقض را به مردم بگوید.
برای شرکتهایی که بیش از 250 کارمند دارند، نیاز به مستنداتی در مورد چرایی جمعآوری و پردازش اطلاعات افراد، شرح اطلاعاتی که نگهداری میشود، مدت زمان نگهداری آن و شرح اقدامات امنیتی فنی وجود دارد. ماده شماره سی GDPR بیان میکند که بیشتر سازمانها باید سوابق پردازش دادههای خود، نحوه اشتراک گذاری و همچنین ذخیره دادهها را حفظ کنند.
بهعلاوه، سازمانهایی که «نظارت منظم و سیستماتیک» افراد را در مقیاس بزرگ دارند یا دادههای شخصی حساس زیادی را پردازش میکنند، باید از یک افسر حفاظت از دادهها (DPO) استفاده کنند. برای بسیاری از سازمانهای تحت پوشش GDPR، این ممکن است به این معنی باشد که باید یک کارمند جدید استخدام کنند، اگرچه کسبوکارهای بزرگ و مقامات دولتی ممکن است قبلاً افرادی را در این نقش داشته باشند. در این شغل، فرد باید به اعضای ارشد کارکنان گزارش دهد، بر رعایت GDPR نظارت کند و نقطه تماس کارمندان و مشتریان باشد.
اگر سازمانی به دلیل نقض بالقوه یکی از اصول GDPR مورد بررسی قرار گیرد، اصل پاسخگویی نیز میتواند بسیار مهم باشد. داشتن سوابق دقیق از همه سیستمها، نحوه پردازش اطلاعات و اقدامات انجام شده برای کاهش خطاها به سازمان کمک میکند تا به قانونگذاران ثابت کند که تعهدات GDPR خود را جدی میگیرد.
نقض GDPR و جریمه
یکی از بزرگترین و مورد بحثترین عناصر GDPR، توانایی تنظیمکنندهها برای مشاغلی است که جریمهها را رعایت نمیکنند. اگر سازمانی دادههای یک فرد را به روش صحیح پردازش نکند، میتواند جریمه شود. اگر افسر حفاظت از دادهها نداشته باشد، میتواند جریمه شود. اگر نقض امنیتی وجود داشته باشد نیز میتوان آن را جریمه کرد.
در بریتانیا، این جریمههای پولی توسط ICO تعیین میشود و هر پولی که دوباره به دست میآید از طریق خزانه داری بازگردانده میشود. GDPR میگوید که تخلفات کوچکتر میتواند منجر به جریمه تا 10 میلیون یورو یا دو درصد از گردش مالی جهانی یک شرکت (هر کدام بیشتر باشد) شود. نقض GDPR میتواند با عواقب جدیتری مواجه شود: جریمههایی تا سقف 20 میلیون یورو یا چهار درصد از گردش مالی جهانی یک شرکت (هر کدام بیشتر باشد).
تحت رژیم قبلی حفاظت از دادهها، ICO فقط میتوانست تا 500000 پوند جریمه صادر کند.
قبل از اجرای GDPR، گمانهزنیهای زیادی وجود داشت مبنی بر اینکه تنظیم کنندههای حفاظت از دادهها، شرکتهایی را که در نقض این قانون شناسایی میشوند، با جریمههای هنگفتی روبهرو شوند.
یکی از بزرگترین جریمههای GDPR تا به امروز علیه گوگل بوده است: تنظیمکننده حفاظت از دادههای فرانسه، کمیسیون ملی حفاظت از دادهها (CNIL)، این شرکت را 50 میلیون یورو (43 میلیون پوند) جریمه کرد. CNIL گفت که این جریمه به دو دلیل اصلی صادر شده است: گوگل اطلاعات کافی در مورد نحوه استفاده از دادههایی که از ۲۰ سرویس مختلف دریافت میکند و همچنین عدم دریافت رضایت مناسب برای پردازش دادههای کاربر را به کاربران ارائه نمیدهد.
همچنین، متا با جریمه 275 میلیون دلاری GDPR برای نقض اطلاعات فیسبوک مواجه شد که دلیل آن نقض قانون حفاظت از دادههای اروپا بود.
در آن زمان، فیسبوک سعی کرد این نقض را کم اهمیت جلوه دهد و ادعا کرد که دادههایی که در فضای آنلاین پیدا شده بودند «دادههای قدیمی» بودند و مشکلی را که منجر به افشای اطلاعات شخصی شده بود، برطرف کرده بود.
در موردی دیگر، جریمه 265 میلیون یورویی (275 میلیون دلاری) توسط کمیسیون حفاظت از دادههای ایرلند (DPC)، برای مقررات عمومی حفاظت از دادههای اتحادیه اروپا (GDPR) اعلام شد.
یک فرآیند تحقیق جامع، از جمله همکاری با سایر مقامات نظارتی حفاظت از دادهها در اتحادیه اروپا نیز وجود داشت.
همچنین چند سال قبل واتساپ متعلق به متا به دلیل نقض شفافیت 225 میلیون یورو (267 میلیون دلار) جریمه شد. همچنین، اینستاگرام متعلق به متا با جریمهای 405 میلیون یورویی برای نقض حریم خصوصی کودکان مواجه شد.
DPC همچنین تعدادی تحقیقات در حال انجام در مورد سایر جنبههای کسب و کار متا دارد، از جمله تحقیقات عمدهای در مورد مبنای قانونی که متا ادعا میکند قادر به پردازش دادههای افراد است که قدمت آن به حدود 4 سال قبل میرسد.
جریمه متا به دلیل سوء استفاده از اطلاعات کاربران
طبق گزارش Guardian در سال 2022، متا به جریمه بیسابقه 1.2 میلیارد یورویی (1 میلیارد پوند) محکوم شد و دستور تعلیق انتقال اطلاعات کاربران از اتحادیه اروپا به ایالات متحده صادر شد. البته در انتهای این مقاله جدولی از نقض دادههای معروف وجود دارد، ولی این جریمه که مربوط به متا میباشد در خصوص سوءاستفاده خود متا از اطلاعات کاربران بود.
جریمهای معادل 1.3 میلیارد دلار که توسط کمیسیون حفاظت از دادههای ایرلند (DPC) اعمال شده است، با قانونگذاری متا در سراسر اتحادیه اروپا، رکوردی برای نقض مقررات عمومی حفاظت از دادههای (GDPR) به حساب میآید.
همچنین در آن زمان به متا شش ماه فرصت داده شده تا پردازش غیرقانونی، از جمله ذخیرهسازی دادههای شخصی اتحادیه اروپا را متوقف کند، به این معنی که دادههای کاربر باید از سرورهای فیسبوک حذف شوند.
DPC گفت متا با ادامه انتقال دادههای کاربران اتحادیه اروپا به ایالات متحده بدون وجود بستر مناسب، علیرغم حکم دادگاه اروپایی در سال 2020 مبنی بر نیاز به حفاظت قوی از این اطلاعات، GDPR را نقض کرده بود.
بزرگترین جریمههای نقض داده تاکنون
جریمههای قابل توجهی که از سال 2019 برای نقض دادهها ارزیابی شده است نشان میدهد که تنظیم کنندهها در مورد سازمانهایی که به درستی از دادههای مصرف کننده محافظت نمیکنند جدیتر میشوند. به عنوام مثال ماریوت با 124 میلیون دلار جریمه مواجه شد که بعداً کاهش یافت، در حالی که Equifax موافقت کرد که حداقل 575 میلیون دلار برای تخلفات خود در سال 2017 بپردازد.
در این بخش بزرگترین جریمهها و مجازاتهای ارزیابی شده برای نقض دادهها یا عدم رعایت قوانین امنیت و حریم خصوصی آمده است.
البته در انتهای مقاله نیز جدولی از جریمههای نقض داده نیز وجود دارد. برخی از این جریمهها نیز بعدها آپدیت شدهاند که در همان جدول به ترتیب صحیح آورده شده است.
1. دیدی گلوبال: 1.19 میلیارد دلار
اداره فضای سایبری چین، شرکت چینی دیدی گلوبال را به دلیل نقض قوانین امنیت شبکه، قانون امنیت دادهها و قانون حفاظت از اطلاعات شخصی توسط این شرکت به مبلغ 8.026 میلیارد یوان (1.19 میلیارد دلار) جریمه کرد. دیدی گلوبال در بیانیهای اعلام کرد که تصمیم تنظیمکننده امنیت سایبری را میپذیرد؛ تصمیمی که پس از یک سال تحقیق در مورد این شرکت در مورد اقدامات امنیتی و فعالیتهای مشکوک غیرقانونی اتخاذ شد.
2. آمازون: 877 میلیون دلار
در تابستان ۲۰۲۱، سوابق مالی غول خردهفروشی آمازون نشان داد که مقامات لوکزامبورگ جریمهای به مبلغ ۷۴۶ میلیون یورو (۸۷۷ میلیون دلار) برای نقض GDPR صادر کردهاند. طبق یک پست وبلاگی توسط فروشنده امنیت سایبری، دلایل کامل این جریمه هنوز تایید نشده است، اما اعتقاد بر این است که رضایت کوکی را شامل میشود.
3. Equifax: حداقل 575 میلیون دلار
در سال 2017، Equifax اطلاعات شخصی و مالی نزدیک به 150 میلیون نفر را به دلیل فریمورک آپاچی Struts اصلاح نشده در یکی از پایگاههای داده خود از دست داد. این شرکت ماهها پس از انتشار، نتوانسته بود آسیبپذیری حیاتی را برطرف کند و سپس برای هفتهها پس از کشف آن، مردم را از این نقض آگاه نکرد.
در ژوئیه 2019، آژانس اعتباری موافقت کرد که 575 میلیون دلار در توافقی با کمیسیون تجارت فدرال، دفتر حمایت مالی از مصرف کننده (CFPB) و همه 50 ایالت و منطقه ایالات متحده بر سر “شکست شرکت در پذیرش اقدامات ” را بپردازد.
4. اینستاگرام: 403 میلیون دلار
در سپتامبر 2022، کمیسر حفاظت از دادههای ایرلند (DPC) اینستاگرام را به دلیل نقض حریم خصوصی کودکان تحت شرایط GDPR جریمه کرد. این شکایت طولانی مدت مربوط به دادههای متعلق به افراد زیر سن قانونی، به ویژه شماره تلفن و آدرس ایمیل بود که برخی از کاربران جوان پروفایلهای خود را برای دسترسی به ابزارهای تجزیه و تحلیل مانند بازدید از پروفایل ارتقا دادند.
متا، مالک اینستاگرام اعلام کرد که قصد دارد علیه این تصمیم تجدید نظر کند. یکی از مقامات متا به بیبیسی نیوز گفت: «این تحقیق بر تنظیمات قدیمی متمرکز بود که بیش از یک سال پیش بهروزرسانی کردیم و از آن زمان بسیاری از ویژگیهای جدید را برای کمک به حفظ امنیت نوجوانان و حفظ اطلاعات آنها منتشر کردهایم».
اندی باروز، رئیس خط مشی آنلاین ایمنی کودکان در انجمن ملی پیشگیری از ظلم به کودکان (NSPCC) گفت: “این یک نقض بزرگ بود که پیامدهای حفاظتی قابل توجه و احتمال آسیب واقعی به کودکان از اینستاگرام را داشت. این حکم نشان میدهد که چگونه اجرای مؤثر میتواند از کودکان در رسانههای اجتماعی محافظت کند و تأکید میکند که چگونه مقررات در حال حاضر کودکان را در فضای آنلاین ایمنتر میکند.»
5. تیک تاک: 370 میلیون دلار
در سپتامبر 2023، تیک تاک به دلیل نقض حریم خصوصی دادههای کودکان، طبق قانون GDPR، توسط کمیسیون حفاظت از دادههای ایرلند (DPC) به جریمه 345 میلیون یورویی (370 میلیون دلار) محکوم شد. DPC متوجه شد که تیک تاک به اندازه کافی با کودکان در مورد تنظیمات حریم خصوصی خود شفاف نبوده است و سوالاتی در مورد نحوه پردازش دادههای آنها ایجاد کرده است.
این تحقیق مربوط به دوره بین 31 ژوئیه 2020 و 31 دسامبر 2020 بود که تیک تاک به تعهدات خود تحت GDPR در رابطه با پردازش دادههای شخصی مربوط به کاربران کودک پلتفرم تیک تاک در چارچوب این قانون عمل نکرد.
6. تی موبایل: 350 میلیون دلار
در ژوئیه 2022، غول ارتباطات سیار تی موبایل (T-Mobile) شرایط توافق را برای یک دعوای حقوقی دسته جمعی پس از نقض دادهها که در اوایل سال 2021 رخ داد و بر روی 77 میلیون نفر تأثیر گذاشت، اعلام کرد. این حادثه حول محور «دسترسی غیرمجاز» به سیستمهای تی موبایل پس از لیست شدن بخشی از دادههای مشتریان برای فروش در یک انجمن مجرمان سایبری شناخته شد. در پرونده SEC، مشخص شد که تی موبایل مجموعاً 350 میلیون دلار برای تأمین مالی ادعاهای ارائه شده، هزینههای حقوقی وکیل شاکیان و هزینههای مدیریت تسویه حساب پرداخت کرد. این شرکت همچنین متعهد میشود در سالهای 2022 و 2023 مجموعاً 150 میلیون دلار برای امنیت دادهها و فناوریهای مرتبط هزینه کند.
7. متا (فیس بوک): 277 میلیون دلار
در نوامبر 2022، کمیسیون حفاظت از دادههای ایرلند (DPC) متا را به دلیل به خطر انداختن اطلاعات شخصی 500 میلیون کاربر، 277 میلیون دلار (265 میلیون یورو) جریمه کرد. DPC تحقیقات خود را در 14 آوریل 2021، به دنبال گزارشهایی مبنی بر مجموعه دادههای جمع آوری شده از دادههای شخصی فیس بوک که در اینترنت در دسترس قرار گرفته بود، آغاز کرد.
DPC اجرای اقدامات فنی و سازمانی را بر اساس ماده 25 GDPR مورد بررسی قرار داد.
این تصمیم یک توبیخ و دستوری را اعمال کرد که MPIL را ملزم میکرد تا با انجام طیفی از اقدامات اصلاحی مشخص در یک بازه زمانی خاص، پردازش خود را مطابقت دهد.
8. واتساپ : 255 میلیون دلار
سرویس پیام رسانی واتساپ متعلق به فیس بوک در آگوست 2021 به دلیل یک سری نقض حفاظت از دادههای فرامرزی GDPR در ایرلند، 225 میلیون یورو (255 میلیون دلار) جریمه شد. این جریمه به دنبال یک تحقیق و فرآیند اجرایی طولانی است که در سال ۲۰۱۸ آغاز شد و تصمیم پیشنهادی کمیسیون حفاظت از دادهها و تحریمها توسط تنظیمکنندههای اروپایی حفاظت از دادهها رد شد و منجر به ارجاع و صدور حکم از سوی هیئت حفاظت از دادههای اروپا شد. این اتهامات بر شکایات کاربران سرویسهای واتساپ متمرکز بود که شامل نقض شفافیت و تعهدات اطلاعات موضوع دادهها طبق مواد 12، 13 و 14 GDPR بود.
9. هوم دیپات: 200 میلیون دلار
در سال 2014 هوم دیپات(Home Depot) در یکی از بزرگترین نقضهای اطلاعاتی تا به امروز که شامل سیستم نقطه فروش (POS) بود، دست داشت که منجر به پرداخت جریمهها و تسویه حسابها شد. اعتبار دزدیده شده از شخص ثالث به مهاجمان این امکان را میدهد که وارد شبکه هوم دیپات شوند، امتیازات را بالا ببرند و در نهایت سیستم POS را به خطر بیندازند. بیش از 50 میلیون شماره کارت اعتباری و 53 میلیون آدرس ایمیل در یک دوره پنج ماهه بین آوریل تا سپتامبر 2014 به سرقت رفته است.
بنابر گزارشها، هوم دیپات حداقل 134.5 میلیون دلار به شرکتهای کارت اعتباری و بانکها در نتیجه این نقض پرداخت کرده است. علاوه بر این، در سال 2016 هوم دیپات موافقت کرد که 19.5 میلیون دلار به مشتریانی که تحت تأثیر این نقض قرار گرفته بودند، پرداخت کند که شامل هزینه خدمات نظارت بر اعتبار برای قربانیان نقض میشود. در سال 2017، این شرکت موافقت کرد که 25 میلیون دلار اضافی به مؤسسات مالی متاثر از نقض حقوقی که میتوانست توسط قربانیان مطالبه شده و زیان بانکها را پوشش دهد، بپردازد.
تخلفات میتواند هزینههای زیادی داشته باشد، بهویژه وقتی صحبت از جریمه و تسویه حساب میشود. در نوامبر 2020، هوم دیپات مبلغ 17.5 میلیون دلار دیگر را به 46 ایالت ایالات متحده و واشنگتن دی سی برای نقض قوانین پرداخت کرد. این قرارداد همچنین هوم دیپات را مجبور کرد از یک CISO استفاده کند، آموزش امنیتی برای پرسنل کلیدی ارائه دهد و از کنترلها و سیاستهای امنیتی در زمینههایی مانند هویت و دسترسی، نظارت و واکنش به حوادث اطمینان حاصل کند.
10. کپیتال وان (Capital One): 190 میلیون دلار
در دسامبر 2021، Capital One موافقت کرد که 190 میلیون دلار برای رسیدگی به دعوای دسته جمعی که توسط مشتریان ایالات متحده علیه آن به دلیل نقض اطلاعات در سال 2019 که 100 میلیون نفر را تحت تأثیر قرار داده بود، بپردازد. این تسویه بیش از یک سال پس از آن صورت گرفت که دفتر کنترل ارز ایالات متحده، کپیتال وان را 80 میلیون دلار به دلیل نقض مشابه جریمه کرد.
یک مهندس نرم افزار در AWS پشت این حمله بود که اطلاعاتی از جمله جزئیات حساب بانکی را افشا کرد. در بیانیهای ایمیلی، کپیتال وان گفت که حقایق کلیدی در این پرونده از زمان اعلام این رویداد با هماهنگی مقامات فدرال بیش از دو سال پیش، با دستگیری هکر و بازیابی اطلاعات سرقت شده قبل از انتشار یا استفاده برای آنها تغییر نکرده است.
11. اوبر: 148 میلیون دلار
در سال 2016، اپلیکیشن اوبر دارای 600 هزار راننده و 57 میلیون حساب کاربری بود. به جای گزارش این حادثه، این شرکت 100,000 دلار به عامل این حادثه پرداخت کرد تا هک را مخفی نگه دارد. با این حال، این اقدامات برای شرکت گران تمام شد. این شرکت در سال 2018 مبلغ 148 میلیون دلار جریمه شد.
12. مورگان استنلی: 120 میلیون دلار
در ژانویه 2022، بانک سرمایه گذاری و غول خدمات مالی مورگان استنلی موافقت کرد که 60 میلیون دلار برای تسویه یک ادعای حقوقی مربوط به امنیت دادههای خود بپردازد. این توافق در صورت تایید یک قاضی فدرال در منهتن، شکایت دسته جمعی را که در ژوئیه 2020 علیه شرکت در رابطه با دو نقض امنیتی که اطلاعات شخصی تقریباً 15 میلیون مشتری را به خطر انداخته بود، حل میکرد. به گفته مدعیان، مورگان استنلی نتوانست از اطلاعات شناسایی شخصی (PII) مشتریان فعلی و سابق محافظت کند. گفته میشود که تجهیزات مرکز داده که در سالهای 2016 و 2019 توسط این شرکت از رده خارج شدهاند، به طور مؤثر پاک نشدهاند و نقص نرمافزاری به این معنی است که دادههای حساس و رمزگذاری نشده برای هر کسی که تجهیزات را خریداری کرده است قابل مشاهده است.
تسویه ادعای پیشنهادی بیش از یک سال پس از آن صورت گرفت که اداره کنترل ارز (OCC) مورگان استنلی را به جریمه مدنی جداگانه 60 میلیون دلاری در رابطه با حوادث مشابه محکوم کرد. OCC اعلام کرد که مورگان استنلی نظارت مناسبی بر از کار انداختن دو مرکز داده مدیریت ثروت مستقر در ایالات متحده در سال 2016 انجام نداده است.
13. گوگل ایرلند: 102 میلیون دلار
گوگل ایرلند در 6 ژانویه 2022 توسط سازمان حفاظت از داده فرانسه CNIL با جریمه 90 میلیون یورویی (102 میلیون دلار) مواجه شد. این جریمه مربوط به نحوه اجرای رویههای رضایت از کوکی توسط بازوی اروپایی گوگل در یوتیوب بود. در این بیانیه آمده است: «CNIL شکایات زیادی در مورد نحوه رد کردن کوکیها در وبسایتهای google.fr و youtube.com دریافت کرده است. در ژوئن 2021، CNIL یک تحقیق آنلاین در این وبسایتها انجام داد و دریافت که آنها دکمهای را ارائه میکنند که امکان پذیرش فوری کوکیها را فراهم میکند، این روند بر آزادی رضایت کاربران اینترنت تأثیر میگذارد و نقض ماده 82 قانون حفاظت از دادههای فرانسه است.
51 مورد از بزرگترین جریمههای نقض داده در یک نگاه
این بخش مروری کوتاه بر جریمههای نقض دادهها و مجازاتهای نقض دادههای اعمال شده در سطح جهانی ارائه میدهد.
لازم به ذکر است با نقض داده هر یک از این شرکتها، سازمان قانونگذار مربوط به آن شرکت بررسیهای لازم را انجام داده و مبلغ جریمه را تعیین کرده است. در ستون سازمان ناظر نام بیشتر این سازمانها قابل مشاهده است که هر کدام وظایف خاص خود را دارند.
شماره | نام شرکت | مبلغ جریمه | سازمان ناظر |
1 | Didi Global | $1.2 میلیارد | Chinese Government |
2 | $725 میلیون | FTC | |
3 | Amazon | $886 میلیون | Luxembourg National Commission for Data Protection |
4 | Equifax | $700 میلیون | FTC |
5 | Epic Games | $520 میلیون | Violating COPPA |
6 | T-Mobile | $500 میلیون | Lawsuit |
7 | Home Depot | در مسیر پیگیری | |
8 | Capital One | $80 میلیون | OCC |
9 | $170 میلیون | Violating COPPA | |
10 | $150 میلیون | FTC | |
11 | Uber | $148 میلیون | Delay in reporting a data breach |
12 | Morgan Stanley | $150 میلیون | SEC |
13 | Anthem | $115 میلیون | |
14 | Cafe Press | $500,000 | FTC |
15 | Zoetis | $1.9 میلیون | |
16 | Health Net | $250,000 | GDPR |
17 | eBay | $7.2 میلیون | GDPR |
18 | Yahoo | 35$ میلیون | Multiple regulatory bodies |
19 | $3 میلیون | Dutch Data Protection Authority | |
20 | Target | $18.5 میلیون | 47 US states |
21 | Marriott International | $23.8 میلیون | GDPR |
22 | Premera Blue Cross | $10 میلیون | Multiple regulatory agencies |
23 | British Airways | $230 میلیون | ICO, UK |
24 | Advocate Health | $5.5 میلیون | HIPAA |
25 | Aetna | $1.15 میلیون | HIPAA |
26 | Anthem | $115 میلیون | HIPAA |
27 | Cathay Pacific | $644,000 | Hong Kong Privacy Commissioner |
28 | Fresenius | $3.5 میلیون | HIPAA |
29 | The University of Rochester Medical Center | $3 میلیون | HHS |
30 | Massachusetts Eye and Ear Infirmary | $1.5 میلیون | HIPAA |
31 | CVS Health | $2.25 میلیون | HIPAA |
32 | MD Anderson Cancer Center | $4.3 میلیون | HIPAA |
33 | Athens Orthopedic Clinic | $1.5 میلیون | HIPAA |
34 | Cottage Health | $3 میلیون | HIPAA |
35 | Austrian Post | €18 میلیون | GDPR |
36 | Oregon Health & Science University | $2.7 میلیون | HIPAA |
37 | Parkview Health | $800,000 | HIPAA |
38 | LifeSpan Health | $1.5 میلیون | HIPAA |
39 | 21st Century Oncology | $2.3 میلیون | HIPAA |
40 | REWE International | $33 میلیون | GDPR |
41 | Dutch Tax and Customs Administration | $800,000 | GDPR |
42 | Boston Medical Center | $100,000 | HIPAA |
43 | Cosmote Telecom | $5.1 میلیون | GDPR |
44 | Excellus Health Plan | $380.5 میلیون | HIPAA |
45 | Dixons Carphone | £500,000 | Information Commissioner’s Office (ICO) |
46 | $1.7 میلیارد | European Union | |
47 | National Revenue Agency (Bulgaria) | نامشخص | نامشخص |
48 | Enel Energia | €11.5 میلیون | Italian data protection authority |
49 | BBVA | €5 میلیون | Spanish Data Protection Agency |
50 | Columbia University Medical Center | $9.5 میلیون | HIPAA |
51 | ENI | €5 میلیون | Italian Data Protection Authority |