美国商业领袖需要了解的GDPR

通过安迪标志b| 2019年6月25日(2022年1月6日更新)

欧盟的《通用数据保护条例》(简称GDPR)可能是迄今为止通过的关于个人数据隐私的最全面、最重要的立法。自2018年5月起生效,GDPR规定了如何收集、存储和使用有关欧盟公民的所有个人数据和信息。尽管这项立法关注的是欧盟公民的个人数据,但它对世界各地定期收集和存储欧盟公民基本信息的组织和企业产生了巨大影响。

这篇文章包括对立法的全面描述,它的要求,以及世界各地的公司如何采取正确的步骤来确保他们遵守法律,并保护他们的客户和潜在客户的个人数据安全。

什么是GDPR ?它代表什么?

GDPR是《通用数据保护条例》的缩写,是欧洲议会批准的一套数据隐私法规,于2018年5月生效。GDPR规定了组织如何保护欧盟公民的个人数据,并影响全球任何获得欧盟公民个人数据的公司。

GDPR背景和时间表

GDPR是欧盟管理个人数据的最新和最全面的措施,但欧盟几十年来一直专注于保护其公民的个人数据保护。欧盟于1995年通过了《数据保护指令》(Data Protection Directive),该指令要求每个欧盟成员国建立法规和监管机构,以监督和执行数据保护。该指令现在被GDPR取代,GDPR统一适用于所有成员国以及任何国家收集或保留欧盟公民个人数据的任何组织。以下是GDPR历史上具有里程碑意义的日期:

  • 2012年1月:欧盟委员会首先提出GDPR。
  • 2014年3月:欧洲议会投票赞成新数据保护法的大纲。
  • 2016年5月:欧洲议会正式采用GDPR。
  • 2018年5月25日GDPR在所有欧盟成员国被要求将其纳入本国法律后生效。

GDPR的基本理念和目标

GDPR致力于让欧盟公民对个人信息和数据的收集和保存方式有更多的控制权。该法规不仅规定了组织如何收集和存储基本信息,如姓名、地址和其他广泛的个人信息,还规定了网站如何跟踪欧盟公民如何浏览网站,以及公司如何收集和使用电子邮件地址。从本质上讲,与美国和其他国家的法律相比,法律对哪些信息被认为是“个人”——因此个人应该控制哪些信息——采取了更广泛的观点。

丽塔舵

“欧洲人在第二次世界大战和大屠杀中遭受了最严重的打击,”国际隐私专业人员协会的数据保护官和研究主任丽塔·海姆斯说,该协会是世界上最大的非营利性安全和隐私专业人员社区。“他们仍然感到邻居互相举报的刺痛。他们把个人隐私视为一项基本人权。在美国,我们把隐私视为保护消费者的问题,但同时我们也不想阻碍技术的发展和创新。因此,我们不太可能监管科技或科技行业,而更有可能鼓励自我监管,并假设公司会为消费者做正确的事情,以保护自己的品牌和客户信任。

“欧盟在GDPR中努力让消费者对自己的个人数据有更多的控制权,”海姆斯继续说道。“我认为,这项规定的总体主旨是推动处理个人数据的企业认真思考他们从消费者那里收集了什么以及为什么收集,并鼓励他们在涉及客户隐私时更加透明,更加积极地回应客户。”

GDPR及其管辖范围通常相当复杂,但有些条款含糊不清,可供解释。一些专家表示,组织要遵守法律中的每一项详细规定将是极其困难的。

GDPR的一些基本要求

GDPR的全文共261页,涵盖了广泛的领域。但有一些最重要的基本要求和规定,包括:

  • 同意:在大多数情况下,个人必须主动同意组织拥有他或她的个人信息和数据。组织必须以明确的语言征求同意,并且无论何时想要收集或使用不同的信息,都必须征得同意。个人数据的使用方式必须是显而易见的,组织必须能够清楚地表明他们是如何以及何时获得同意的。组织还必须告诉人们如何以任何理由轻易撤销同意。
  • 不断发展的技术:GDPR将个人数据定义为包括目前不存在但可能以新的和不断发展的方式捕获数据的新技术。
  • 违反通知:当组织遇到“个人数据泄露”时,必须在72小时内通知相应的监管机构(在不同的欧盟成员国)。一个违反任何导致意外或非法销毁、遗失、更改或未经授权披露个人资料的情况。正如GDPR所述,如果控制数据的组织确定个人数据泄露“可能会对个人的权利和自由造成高风险”,公司还必须提醒数据被泄露的人员。
  • DSAR:人们可以提交数据对象查阅要求(DSAR),即他们正式要求某机构提供该机构可能拥有的与他们有关的所有个人资料。一般来说,组织必须在收到请求后的一个月内提供这些信息。
  • 数据控制:组织必须保持整体数据控制这意味着,除其他外,他们只能处理或保留法律允许的目的的数据,并确保数据的准确性。
  • 数据安全组织必须确保数据安全,其中包括一系列行动,以确保个人数据不会在无意中泄露或被盗。
  • 被遗忘权:也被称为删除权在美国,这项权利确保个人可以要求组织删除或删除他或她的个人数据。虽然这项权利并不适用于所有数据,但它确实适用于广泛的信息,包括当组织因收集数据的原因不再需要数据时,以及当组织依靠同意来保留数据而个人撤回该同意时。
  • Pseudonymization:GDPR鼓励组织尽可能多地隐藏他们的个人数据pseudonymization这是一种存储数据的方式,因此它不会识别特定的人。这些数据仍然对组织有用,因为它可以将数据与保存在不同位置的其他单独信息进行匹配,以识别人员。该过程降低了可识别数据被发布的风险,同时保持其对组织有用。
  • 设计隐私和默认隐私:GDPR要求组织遵循这两个既定的隐私原则。设计隐私他认为,企业在设计新系统和新技术时,应该优先考虑隐私,以及如何确保隐私,而不是事后才考虑。默认的隐私意味着当客户使用产品或技术时,默认会发生最严格的隐私设置。ob欧宝娱乐app手机下载他或她不需要进行手动更改以使设置更私密。
  • 安全港和隐私盾保护:根据《通用数据保护条例》之前的欧盟规定,如果非欧盟国家的隐私法“足以”保护隐私,那么个人数据可以转移到这些国家。2015年,欧洲法院驳回了美国对欧盟的“安全港”保护后,欧盟和美国达成了另一项协议,即“隐私盾框架”,该协议规定了美国政府和其他美国组织在处理欧盟公民个人数据时应遵循的规则。

    既然GDPR已经取代了之前的欧盟隐私法,那么隐私保护框架如何适用仍存在一些法律上的不确定性。可以肯定的是,GDPR现在管理的个人信息范围比隐私保护框架要广泛得多。因此,拥有或传输欧盟公民数据的美国组织必须遵守GDPR的各个方面,而不仅仅是隐私保护框架中的那些。

GDPR的DPO要求是什么?

GDPR要求所有政府实体和私人组织任命数据保护官(DPO),其数据处理的核心活动涉及“定期和系统地大规模监测数据主体”。GDPR还要求对“特殊类别的个人数据”(如种族、民族和宗教信仰的个人信息)进行大规模处理的组织设置数据保护官。

资料保障主任的职责范围广泛,包括:

  • 教育公司及其员工在GDPR下的职责
  • 培训与处理个人资料最相关的员工
  • 监控组织如何遵守GDPR
  • 作为公司与组织所在国家的GDPR监管机构之间的主要联络点

数据保护官不能有利益冲突。例如,他们不能同时担任公司的信息技术总监,因为他们没有必要的独立性来确保组织遵守GDPR。数据保护官员也有特殊的保护措施,包括组织不能因为他们履行职责而解雇他们。

GDPR下的数据控制器和数据处理器

GDPR概述了两个关键术语之间的重要区别和不同的职责数据控制器是决定收集、保存和使用个人数据的实体,而数据处理器是实际处理数据的实体,通常代表数据控制器工作。

GDPR将法律的许多主要要求分配给了数据控制者,包括征得被收集数据的人的同意,并跟踪该同意何时被撤销。GDPR还要求数据控制者负责数据处理者是否遵守GDPR规定的所有处理要求。与以前的法律不同,GDPR现在也对数据处理者施加了义务。从本质上讲,他们必须遵守GDPR的所有方面,否则他们可能会受到惩罚。

全球企业GDPR合规的挑战

根据GDPR,将个人数据从欧盟转移到其他国家(包括美国)只有在某些特定条件下才是合法的。如果外部国家的法律提供“充分”的个人数据保护,GDPR就允许这些转移。如果信息的发送方和接收方使用了适当的欧盟批准的保障措施,这种转移也可能是合法的。一般来说,这意味着他们正在使用欧盟批准的合同条款等机制具有约束力的公司规则(BSRs),这是跨国公司采用的行为准则。然而,这些都是有限的情况,可能会受到法律问题和挑战。

如前所述,人们可以提交资料当事人查阅要求,要求有关机构提供该机构可能拥有的与他们有关的所有个人资料。一般来说,组织必须在一个月内提供这些信息。许多专家认为,对于组织来说,这可能比听起来要复杂得多,也需要大量的劳动力。

IAPP的海姆斯说,这一要求意味着组织需要知道所有个人数据的位置,找到它,并相对快速地生成这些信息。她解释说:“根据公司的规模和客户与公司关系的长短,这种访问请求可能既耗时又复杂,就像诉讼证据开示请求一样。”“扩大这种努力的规模或为此增加人手并不容易,尤其是当此类请求在不可预测的时间到来时。”

GDPR中的处罚

GDPR规定的最高处罚可能受到了与法律其他方面一样多的关注。较为温和的罚款是针对违反有关记录保存、安全和违规通知等法律规定的行为。违反这些规定的最高罚款为1000万欧元,或实体全球总收入的2%。

最大的潜在罚款被指控为违反要求个人同意收集个人信息的规定,涉及个人隐私权的其他违规行为,以及将个人数据从欧盟国家转移到非欧盟国家。这些违规行为的最高罚款为2000万欧元,相当于实体全球总收入的4%。

许多专家认为,随着企业越来越了解如何遵守GDPR,以及监管机构扩大了他们的工作规模,一开始不会有大规模的GDPR执法行动。一些人还认为,首批执法行动将针对大公司。

来自国家网络安全联盟(National Cyber Security Alliance)的施瑞德(Schrader)表示:“我认为会有一些组织能够承受这一打击。”“这样做的目的不是要摧毁企业,而是要确保它们守规矩。”

受GDPR影响的公司/组织

GDPR影响了欧盟内外的众多公司和组织,包括以下方面:

  • 总部设在欧盟28个成员国之一的企业
  • 那些总部不在欧盟,但客户是欧盟公民,拥有或收集欧盟公民个人数据的公司
  • 那些总部不在欧盟的公司,他们可能没有直接的欧盟客户,但他们与其他拥有欧盟公民数据的公司合作
  • 针对潜在欧盟客户的美国和其他地区的营销人员

Smartsheet的马丁内斯表示,即使不是大多数,也有许多美国公司需要遵守法律,因为“他们要么想在全球开展业务,要么想与另一家在全球开展业务的公司开展业务。”

一个调查2018年3月对美国公司的高级安全主管进行的一项调查发现,他们认为受影响最大的美国行业依次是:科技、金融服务、在线服务、零售和包装消费品。这项调查是由网络应用安全公司netspark Ltd.委托Propeller Insights进行的。

受GDPR影响最大的行业

底线是,一段时间以来,美国大多数大公司都认为GDPR将对它们产生重大影响。2016年12月,普华永道咨询公司对200名员工超过500人的美国公司高管进行了调查发现,92%的受访者将GDPR合规作为他们的最高优先级或几个最高优先级之一。77%的受访者表示,他们的公司计划在GDPR准备方面花费超过100万美元。

GDPR保护的私有数据类型

GDPR认为个人数据是可以直接或间接识别个人身份的任何信息。GDPR将广泛的信息视为个人数据。下面是一些最常见的例子:

  • 基本身份信息,如姓名、地址、政府或其他身份证号
  • Web数据,例如用户的位置、互联网协议(IP)地址,以及提供用户访问过的网站信息的“cookie”数据
  • 关于这个人的外表的信息
  • 健康和遗传数据
  • 种族或民族数据
  • 性取向
  • 政治偏好和观点
  • 心理上的信息
  • 文化信息
  • 他们的宗教或宗教活动的信息
  • 社会经济信息

GDPR将影响的一些基本业务和信息流程

有一些常规的业务流程可能会受到GDPR的影响——无论是欧盟的组织,还是美国和欧盟以外的其他地区的组织。在GDPR之前,每当有人访问他们的网站并要求或下载信息时,许多组织都会要求并收集电子邮件地址。然后,这些组织将这些电子邮件地址保存下来,以供未来的营销和沟通。GDPR要求人们在任何时候组织收集他们的任何信息(包括电子邮件地址)都必须给予他们明确的同意,并且必须告诉他们计划如何使用电子邮件地址。

“这意味着你的企业过去从电子邮件订阅用户那里收集同意的方式很可能在5月25日之后就不合规了。Kibii该公司为手机开发了一款社交规划应用。“新规定要求品牌收集肯定同意,这种同意是自由给予的,具体的,知情的,明确的。这意味着你不能使用预先打勾的框,并且必须将同意请求与条款和条件完全分开。企业还需要保留同意的证据,包括谁同意了,何时同意的,同意时被告知的内容,他们是如何同意的,以及他们是否撤回了同意。”

但GDPR不仅仅是关于收集数据:它还包括组织如何在内部沟通客户数据的指导方针。该法律还将影响客户数据如何通过公司内部电子邮件被提及或分发,因为即使在内部分发这些信息也可能是违法的。

然而,在某些情况下,GDPR允许公司在未经用户同意的情况下收集和处理个人数据数据对象,附上个人信息的人。这些情况包括由于下列原因需要收集和处理资料:

  • 适用于“资料当事人”为当事人的合约
  • 数据控制者遵守其他法律
  • 保护资料当事人或他人的“重大利益”(换句话说,对资料当事人或他人的生命至关重要的东西)
  • 执行一项“为了公众利益”而完成的任务,或者是数据控制者的官方职责

GDPR与美国关于报告数据泄露的州和联邦法律有何不同

美国的一些联邦和州法律要求报告一些数据泄露事件。GDPR关于报告数据泄露的规定有所不同——在某些情况下,它们要求更多的公开报告,而在其他情况下,则要求更少的报告。

一般来说,GDPR做以下工作:

  • 使用更广泛的数据泄露定义,包括比美国法律更多的“个人数据”类别
  • 对必须向当局报告的数据泄露类型使用更高的阈值
  • 允许公司有一个更大的“安全港”,不需要报告某些违规行为(如果他们有足够好的保护措施来防止违规行为)
  • 订明更具体的规定,规定何时必须报告违规行为(在许多情况下是在72小时内)
  • 很少要求向个人数据可能已被泄露的个人报告违规行为
  • 列出必须包含在违规通知中的信息
  • 不要求或假设信用监控服务免费提供给数据被泄露的人,而美国的数据泄露事件经常是这种情况
  • 没有建立公开的网站列出数据泄露
  • 要求数据处理者向其客户和数据控制者报告违规行为。
  • 要求遭受数据泄露的组织记录它是如何发生的以及将采取的补救措施

美国公司和GDPR

在GDPR于2018年5月生效之前的几个月和几周内,许多美国公司表示,他们有很多工作要做,以做好准备。许多人还表示,他们在做好充分准备方面遇到了障碍。网络安全公司Crowd Research Partners和Cybersecurity Insiders对美国500多名信息技术和网络安全官员进行了一项在线调查,结果发现:

  • 许多人说他们知识不够渊博:虽然80%的人确认GDPR是他们组织的首要任务,但只有大约一半的人表示他们了解法律,25%的人对法律“没有或非常有限”的了解。
  • 缺乏人员和预算阻碍了合规:43%的人表示,他们的组织缺乏足够的员工来确保合规,40%的人表示,他们的组织没有足够的预算来确保合规。
  • 需要的实质性改变:约三分之一的受访者表示,他们的组织需要对数据安全实践和系统做出重大改变,以符合GDPR。超过七成的受访者表示,他们最优先考虑的是编制数据清单,并确定GDPR如何管理这些数据。

自2018年5月25日GDPR生效以来,几乎没有(如果有的话)关于合规水平的明确调查。但人们普遍认为,许多(如果不是大多数的话)组织还没有完全遵守规定。截止日期前的调查暗示了这种可能性:

  • 一个波耐蒙研究所的调查2018年4月的一项调查发现,接受调查的美国公司中有一半表示,他们不会在生效日期前遵守规定。
  • Crowd Research Partners的调查发现,60%的人将在5月25日不遵守规定。
  • 大约四分之三的监管机构负责执法路透社调查2018年5月初表示,他们还没有准备好让新法律生效,因为他们没有足够的资金。

当这项法律生效时,一些国际网站完全屏蔽了来自欧盟的用户,以确保他们没有违反GDPR。IAPP的Heimes指出,即使大多数公司都达到了基本的合规要求,遵守GDPR也不是一场有终点线的比赛。她举了一个例子:每次公司开始使用新的云服务应用程序时,都必须进行隐私风险评估,各方需要签订符合GDPR要求的数据处理协议。

“遵守GDPR并不是在任何时候都能实现的,”海姆斯说。“这是一个持续的过程。”

组织应采取的步骤,以符合GDPR

组织应该采取一些措施来遵守GDPR。以下是专家建议的一些重要步骤:

看看欧盟吧GDPR官方网站,阅读相关材料,并从其他可靠来源获得建议。

  • 如果你的组织需要GDPR,雇佣一名数据保护官。
  • 你的DPO可以帮助教育你的员工,如果你雇佣一名DPO,“或者在内部培训某人成为DPO,”海姆斯说。“然后,他们需要在内部提高对隐私的普遍认识,特别是对GDPR的认识。”
  • 了解组织的所有数据、风险,以及哪些部分受GDPR监管。
  • 执行数据保护影响评估(DPIA),当您的组织正在研究处理个人数据的新方法时,这是GDPR的要求。影响评估是对组织的流程和程序如何影响组织所收集和保存的个人数据的审查。
  • 清楚地告诉人们你的组织是如何收集信息的,以及人们可以如何选择退出。
  • 如果第三方正在为您的公司处理个人数据,请确保他们遵守所有GDPR规定。要明白你的组织可能要为他们的GDPR失败负责。

除了上述步骤,专家建议营销公司采取一些额外的步骤,因为收集个人数据是他们日常业务的一部分:

  • 任命一名GDPR负责人或在营销部门成立一个团队,审查组织处理个人数据的方式。
  • 提供明确的措辞,说明你如何要求收集个人信息的同意,并确保在收集16岁以下儿童的个人数据时,你建立了一个与父母联系以征得同意的流程。
  • 考虑建立一个通信首选项中心,客户可以在其中轻松地管理他们对来自组织的通信的首选项。
  • 在你的网站上清楚地列出你的组织的隐私政策,并考虑使用带有主题标题的链接,这些链接可以引导读者获得更多信息,而不是在一个长网页上展示所有信息。
  • 创建并实施数据泄露计划,详细说明您的组织将如何快速应对数据泄露,包括如何与员工、公众和数据可能已被泄露的人员进行沟通。

要了解如何让您的公司为GDPR做好准备,您可以阅读在这里关于Smartsheet合规的准备工作。

GDPR要求对美国企业的影响

GDPR已经对许多美国企业产生了重大影响。其中许多影响与遵守法律的成本和挑战有关。的普华永道2016年12月调查调查发现,64%的美国企业高管表示,他们遵守GDPR的首要战略是将数据中心集中在欧洲。同一项调查发现,54%的高管计划对欧洲人的个人数据“去识别”或匿名化,以遵守GDPR。32%的受访者表示,他们的公司计划减少在欧洲的业务,26%的受访者表示,他们的公司打算完全退出欧盟市场。

在某些情况下,美国企业正在分析他们如何与欧洲客户做生意,或者他们是否想留在欧洲市场。以下是GDPR的一些影响和应对措施:

  • 美国企业认为遵守GDPR的成本将是巨大的。海姆斯说,她的组织——国际隐私专业人士协会——估计,美国财富500强企业将在遵守GDPR方面总共花费78亿美元,或者说每家公司将花费近1600万美元。
  • 它将显著影响任何公司与供应商和客户的第三方合同。与信息处理商(包括云存储提供商、基于互联网的软件提供商等)签订的现有合同将需要要求遵守GDPR,并为各方分配责任。与客户签订的合同也将受到影响,因为他们将需要在客户如何访问和处理个人数据等方面制定新的细节。

    Smartsheet的马丁内斯表示,现在每当一家美国公司考虑以任何方式与另一家美国公司合作或开展业务时,GDPR都是讨论的主要话题。这意味着公司的安全和法律官员通常会在早期参与讨论。

为什么GDPR对美国企业有利

尽管有这么多的费用和麻烦,但许多人相信GDPR——以及它将给组织收集和存储个人数据的方式带来的重大变化——将对企业产生积极的影响。根据GDPR,美国公司实际上可能不太可能遭受极其昂贵的数据泄露,而且更有可能赢得客户的信任。

海姆斯表示:“最终,企业将聘请数据专员,更多地了解他们拥有的个人数据资产及其所在位置,与消费者建立更牢固的信任关系,并可能拥有更安全的数据处理实践,这对企业总体而言是有利的。”

英国脱欧如何影响英国遵守GDPR

英国即将退出欧盟,即英国脱欧,定于2019年3月。在此之前,英国和其他欧盟国家一样受GDPR的管辖。在那之后,英国可能会受到与GDPR几乎相同的个人数据法的管辖,因为英国议会将通过这些法律。

即将出台的英国法律与GDPR只有很小的不同。GDPR的所有主要条款在英国仍将是法律。一个小小的区别是:如果一个人提出要求,社交媒体公司将被要求删除他或她18岁生日之前发布的所有帖子。

GDPR在全球的潜在溢出效应

这种溢出效应被称为布鲁塞尔的效果许多人认为,随着GDPR的实施,这种情况将会发生——或者已经在发生。布鲁塞尔效应是指欧盟的法律法规如何在全球范围内产生非正式影响。这是因为欧盟国家的人口和市场重要性如此之大,以至于在欧盟开展业务的非欧盟实体发现,他们的做法更容易符合许多欧盟法律。

Smartsheet的马丁内斯指出,微软最近宣布,它计划“将其GDPR隐私实践扩展到每个人,无论你住在哪里。”

专家还表示,最近通过的《加州消费者隐私法》受到GDPR的重大影响。加州法律将一系列新的个人隐私和数据保护扩展到该州居民。与GDPR一样,加州法律将在国内和国际上产生重大影响,因为该州拥有庞大的消费者基础。

专家还预测,GDPR可能会影响美国联邦和州政府批准法律,增加与GDPR类似的个人数据保护,包括以下内容:

  • 鼓励或强制将个人数据假名化,或以一种不易识别个人身份的形式存储
  • 加强违规后的通知要求
  • 通过设计实践要求安全性
  • 要求评估新流程和新技术对个人数据隐私的影响
  • 建立州数据保护机构,监督和执行州法律

GDPR的次要影响:诉讼和法律费用

GDPR,以及试图遵守它,也会产生法律影响和成本。下面介绍了其中两个主要的:

  • 针对不遵守法律的组织的集体诉讼的可能性。集体诉讼在欧盟比在美国少得多。但GDPR中有一些具体条款,允许个人创建或加入一个团体,如果他们的个人数据没有得到GDPR要求的保护,他们可以提起诉讼(并要求赔偿)。
  • 这是律师的福音。部分原因是集体诉讼的可能性,以及GDPR的总体合规要求,欧盟、美国和世界各地的律师都很忙。一位英国律师他告诉福布斯杂志2018年5月,与他合作的一些英国公司将其GDPR总预算的40%用于法律咨询。

公众仍关注数据私隐

除了疯狂地担心遵守GDPR——以及相关成本——企业高管还应该记住,GDPR正试图解决一个非常现实的公众担忧。公众对他们个人数据的隐私仍然非常关注。当数据泄露发生时,他们更多地指责收集数据的公司,而不是攻击数据的黑客。

全球网络安全公司RSA进行了调查一项针对7500多名消费者的调查分别于2017年底和2018年初在法国、德国、意大利、英国和美国推出。以下是一些主要发现:

  • 62%的消费者会将数据丢失或被盗归咎于收集个人数据的公司,而不是黑客。
  • 41%的消费者承认,为了避免不必要的营销宣传或出于安全考虑,他们伪造了自己的个人数据。
  • 绝大多数消费者表示,他们将抵制一家一再表现出对保护客户个人数据漠不关心的公司。82%的英国人表示将抵制;72%的美国人表示同意。

数据泄露对公司股价的影响

公众对数据隐私和数据泄露的担忧也反映在金融市场对重大数据泄露的反应上。在Equifax于2017年9月宣布网络犯罪分子已经获得了超过1.45亿客户的个人数据后,其股价在大约一周内下跌了30%。

数字研究公司Comparitech进行了调查一项研究2017年,在宣布数据泄露后的几周和几个月内,分析了24家上市公司的股价。调查结果如下:

  • 从长期来看,股价平均继续上涨,但速度比突破之前要慢得多。调查发现,该公司股价在违规前三年上涨了45.6%,违规后三年上涨了14.8%。
  • 遭遇违约的公司在纳斯达克指数上的表现明显不佳——三年后比纳斯达克指数低40%以上。
  • 较大的违规行为对股价的影响小于较小的违规行为。
  • 与电子邮件地址等数据相比,信用卡信息和社会安全号码等特别敏感的数据遭到泄露,导致股价立即下跌的幅度更大。

使用IT & Ops的Smartsheet无缝跟踪和监控GDPR合规性

通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

免费试用Smartsheet 获得一个免费的Smartsheet演示