任何组织或违规行为都不能避免代价高昂的处罚。自2018年5月欧盟通用数据保护条例（GDPR）生效以来，欧盟当局已开出超过3.7亿欧元的罚款。关于GDPR实施的头条新闻都被几家受到重罚的知名公司占据：谷歌5700万美元，万豪国际1.23亿美元，英国航空公司2.3亿美元。如果你是一位关注这些故事的高管，你可能会在离开时产生一种错误的印象：欧洲当局只对跨国公司提起大规模数据泄露或侵犯隐私的行为提起诉讼。但欧盟成员国当局毫不犹豫地对规模较小的组织处以巨额罚款，有时是对看似轻微的违规行为。一般来说，欧盟数据保护当局可以对收集或处理欧盟居民个人信息但未获得适当同意、没有足够的收集法律依据、没有适当的安全措施来保护这些数据的任何组织（或公民）处以罚款，或未能遵守个人访问、更改和删除其数据的权利。欧盟及其他地区的高管可以从这些鲜为人知的GDPR罚款中吸取宝贵教训。以下是欧盟当局正在追查的几个特别有趣的违反GDPR的案例，看云，以及你的企业如何避免因违规而被罚款。"在欧盟做生意？即使你不是Facebook或谷歌，也可以从一些小公司遭受巨额GDPR罚款的记录中吸取教训。"在推特上留言荷兰保险公司因未使用MFA而受到GDPR罚款荷兰公共保险公司UWV因在处理健康数据时忽视实施适当的安全措施而受到处罚。根据《国家法律评论》（National Law Review），UWV有一个公共门户网站，雇主可以在该门户网站上提交员工因病、怀孕或育儿假而缺勤的日期。虽然雇主没有说明雇员缺勤的原因是什么，甚至暗示有人生病了，但仍将其称为"健康数据"，这在GDPR下受到高度保护。UWV是根据GDPR第32条起诉的，好评返现，该条规定各组织"应采取适当的技术和组织措施，以确保与风险相适应的安全水平。"荷兰监管局认为，UWV违反了第32条，未能在其门户中实施多因素认证（MFA）。使用MFA，登录需要附加的身份验证形式，例如一次性代码或生物认证。这种形式的登录比简单的用户名-密码组合更安全，后者容易受到不当访问和凭据填充攻击。UWV并不是唯一因安全性不足而受到处罚的组织。根据GDPR执法追踪系统的数据库，迄今为止，根据第32条已被处以37项罚款，成为执法行动中引用最多的条款，仅次于第5条和第6条。虽然第5条和第6条的范围相当广泛，可以被视为包罗万象，但第32条将个人数据的技术保障不充分的组织，不论这些数据是否被公开。UWV被要求进行隐私影响评估，并被给予一年时间来改善安全性，之后他们将被罚款每月15万欧元，最高罚款90万欧元。如何避免这类GDPR罚款：首先，确定您的企业是否处理属于GDPR个人数据特殊类别之一的信息，这些数据被定义为"显示种族或民族血统、政治观点、宗教或哲学信仰的数据，或工会会员资格和处理遗传数据、唯一识别自然人的生物特征数据、健康数据或有关自然人性生活或性取向的数据。"任何从事这类数据处理的组织（即使像UWV一样，它只是间接地提到它）都将受到更高标准的数据保护。这对你的员工来说并不是一个好主意。在荷兰的一个类似案例中，一家医院因为没有采取双因素认证来防止工作人员不正当地获取荷兰名人的医疗记录而被罚款46万欧元。错误放置的文件将获得巨额的GDPR罚款挪威监管机构根据GDPR第5条和第32条对卑尔根市处以17万欧元的罚款。这起案件是在当地一所学校的一名学生发现有几个档案，其中载有35000名学生和雇员的登录凭证，可供公众查阅。由于学校系统也没有设立MFA，因此任何拥有登录证书的人都可以访问学校的数字学习平台，该平台包含高度个人信息，大数据下载，如作业和教师评估，这加剧了这种监督。挪威数据保护局（Datatilsynet）表示，罚款数额的部分原因是"加重处罚的因素"。具体而言，他们列举了这样一个事实，即大部分数据主体是儿童，而且该镇曾多次受到外界和"内部告密者"的警告，称该镇需要提高数据安全性。如何避免这类GDPR罚款：正如Datatilsynet在其决定中所解释的："在GDPR中，儿童被定义为一个特别脆弱的群体，应给予特别保护。"因此，任何处理未成年人数据的企业都必须特别小心，既要确保数据的安全，又要获得同意。此外，这项罚款也说明了每个公司都必须清楚地知道他们的数据在哪里，谁可以访问这些数据。一个好的开始是一个用户管理系统，它有一个仪表板，可以让你很容易地授予和撤销对敏感数据的权限，并根据要求删除它，根据GDPR下数据主体的权限。"预计2020年GDPR的步伐将加快。了解更小的公司需要做些什么来避免巨额罚款。"在推特上留言类似的数据泄露，但GDPR罚款却截然不同2018年夏天，德国社交媒体公司Knudels和欧盟金融科技公司MisterTango各自遭遇数据泄露，暴露了个人信息，但当局对待他们的态度截然不同。根据第32条，Knudels逃脱了20万欧元的行政罚款，德国监管当局将此归咎于其透明度、与当局的合作以及采取额外安全措施的努力。与此同时，米斯特坦戈根据第5条、第32条和第33条被罚款61500欧元。立陶宛数据保护局要求该公司对未能在规定的72小时内向信息专员办公室（ICO）报告其安全漏洞的行为负责。这一最初的失误引发了一项调查，调查显示，MisterTango收集数据的法律依据不足，存储时间过长，只有一名员工负责处理数据安全。如何避免这种GDPR罚款：knudels和MisterTango都犯了严重的数据安全错误。knudels存储了用户凭据的未加密版本，MisterTango无意中在公共设置中公开了客户数据。这里有一些关于匿名个人信息和密切跟踪数据的重要性的课程。然而，最大的教训是，对两起类似违规行为的罚款悬殊。Knudels通过立即提出安全漏洞并投入足够的资源来确保它不再发生，从而最大限度地减少了损失。欧盟当局强调，他们将对那些真诚行事、能够表现出致力于纠正错误和优先考虑网络安全的组织更加宽容。通过为数据隐私投入足够的资源，例如与Auth0这样的专家第三方合作，您可以证明您的企业是认真对待GDPR兼容的。现在就接受GDPR合规性，或稍后接受风险惩罚这些罚款应该告诉我们的是，处理欧盟公民数据的人没有一个小到可以在GDPR的雷达下通过。（这甚至包括个人，比如那个因非法使用仪表盘而被奥地利数据保护局罚款300欧元的人。）根据GDPR，监管行动的步伐预计只会在来年加快，而只需一个人的投诉就可以引发调查。考虑到GDPR侵权的潜在成本，如何学习大数据，以及新的数据保护法在世界各地生效，现在是时候采取适当的安全措施，证明你是认真保护个人信息的。如果您想了解正确的身份管理合作伙伴如何成为解决方案的一部分，请立即联系Auth0的专家。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，云计算和大数据的区别，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms变换：tra