近日，支付卡行業安全標準委員會（PCISSC）警告說，當新的歐盟立法在2018年生效時，英國企業可能面臨高達1220億英鎊的數據違規處罰。

根據英國政府2015年信息安全漏洞調查，90％的大型組織和74％的中小企業報告具有安全漏洞，將會導致總共14億英鎊的監管罰款。

2018年，歐盟一般數據保護法規（GDPR）將對歐洲一些公司和集團罰款2000萬歐元，或是全球年營業額的4％，遠遠超過目前的最大數額50萬英鎊。

這意味著，如果數據泄露保持在2015年的水平，那么這些企業將支付給歐洲監管機構的罰款增加近90倍，從2015年的14億英鎊增加到12200億英鎊，根據PCISSC的計算，根據最高罰款可高達4％的全球營業額。

對于大型英國機構，這可能會導致數據泄露的監管罰款高達700億英鎊，超過130倍的增長，每個組織平均增加到1100萬英鎊。而中小企業的監管罰款可能增加57倍，上升到520億英鎊，平均每個中小企業的罰款為13,000英鎊。

監管罰款只是企業損失的一部分，PCISSC表示，聲譽受損，業務中斷和收入損失也對遭受數據泄露的企業產生重大影響。

PCISSC與組織合作開發了加強支付和數據安全標準，促使企業現在采取行動，預防，檢測，以及應對可能導致違反支付數據和其他個人數據的網絡攻擊。

新的歐盟立法將會讓歐洲的那引動大型組織和中小企業改變游戲規則，因為監管機構是否能夠對平安航空公司的安全違規行為施加懲罰，仍有待觀察，而面對這些罰款，這些企業是否能夠承擔成本是一個問題。 PCISSC的國際總監JeremyKing說。

無論大小公司都需要立即采取行動，開始制定強有力的標準和程序，以應對網絡安全威脅，或者只能面對監管罰款和聲譽損害，并支付天文數字的費用的前景。

關于PCISSC

PCISSC延長了組織在更新PCIDSS3.2之前的TLS加密標準的最后期限。

PCISSC已經發布了關于滲透測試的指令性的新的補充指南，旨在扭轉當前趨勢，并改善商家合規性。

PCISSC的新指南包括標記化安全性的一些基本方面，以及商家需要了解的標記化產品。

然而，PCISSC計算沒有考慮GDPR的兩級制裁方法，這也讓企業認為是不嚴重的違約行為卻面臨高達1000萬歐元罰款或全球年營業額的2％，這以較高者為準。

HoganLovells律師事務所的歐洲隱私和網絡安全負責人EduardoUstaran說： 對于罰款的雙層方法僅僅反映了歐盟決策者認為的頂級問題與中度問題的關注。但無論如何，從目前的罰款水平的躍升來看是絕對的指數級提升。人們正在談論的罰款已從幾十萬歐元上升到幾億歐元。

Ustaran說，企業注意的關鍵領域是處理的基本原則，包括同意條件，數據主體的權利和合法的國際數據傳輸的條件。他說，大規模的風險對人們的隱私可能是決定對誰罰款和罰款多少的一個主要因素。

Ustaran說： 任何人猜測英國政府是否會在退歐之后，其隱私立法中使用類似的公式來計算，但英國的信息專員們肯定不會放棄大額罰款。

2016年10月，英國信息專員辦公室（ICO）對于2015年TalkTalk公司遭遇的網絡攻擊實施了40萬歐元的罰款，在此次攻擊中，該公司泄露了超過15萬客戶的個人詳細信息。

英國信息專員伊麗莎白 德納姆說，電信提供商未能應用 最基本的網絡安全措施 ，使其數據庫容易遭受SQL注入攻擊，因為未能應用修復軟件，使其犯的錯誤已經超過了三年。

德納姆在擔任此職位后的第一次公開演講中警告說，雖然英國信息專員辦公室（ICO）有權頒發高達50萬英鎊的罰款，但是這一比例可能會上升到與歐盟一般數據保護法規（GDPR）相符的全球營業額的4％。

她還警告說，盡管技術變革的步伐并沒有停止，英國信息專員辦公室（ICO）希望看到組織對其行動承擔責任，認為個別企業需要了解他們為他人創造的風險，并減輕風險。

德納姆表示，GDPR極有可能將在英國離開歐盟之前生效。 歐盟一般數據保護法規（GDPR）已經生效，只是成員國沒有義務將其應用到2018年5月25日。 她說。

德納姆表示，所有想在歐盟開展業務的英國公司都必須遵守歐盟一般數據保護法規（GDPR）。她說，法律的主要轉變是讓消費者控制他們的數據，這與建立信任有關，也是英國信息專員辦公室（ICO）理念的一部分。

在全球經濟中，我們需要法律和標準的一致性， 她說。 歐盟一般數據保護法規（GDPR）是一項強有力的法律，一旦人們走出歐洲，仍然需要被認為是足夠的或基本上相等的法律。當英國離開歐盟之后，這可能是2019年或更晚的時候，一項新的數據保護法將會生效。

德納姆表示，英國信息專員辦公室（ICO）正在與政府部長和高級官員討論未來的英國數據保護法應該是什么樣子。 這個目標是一個逐步的監管制度，它將受到審查，不會讓英國公開讓其他國家拋棄，包括法律。 她說。 這將具有與歐洲一樣的一致性和充分性。

編輯：Harris