---
url: 'https://www.corbado.com/zh/blog/data-breaches-france'
title: '法国10大数据泄露事件[2026年]'
description: '了解法国10大数据泄露事件。从France Travail到Cegedim。解析CNIL罚款、报告规则和预防方法。'
lang: 'zh'
author: 'Vincent Delitz'
date: '2026-05-27T10:30:31.779Z'
lastModified: '2026-05-27T10:34:03.306Z'
keywords: '数据泄露 法国, GDPR罚款 法国, 网络攻击 法国, 数据泄露通知 法国, France Travail数据泄露, 法国最大数据泄露 2026, 被黑法国公司, 法国最大规模数据泄露 2026'
category: 'Passkeys Strategy'
---
# 法国10大数据泄露事件[2026年]
## Key Facts
- **France Travail数据泄露事件**(2024年3月)暴露了多达**4300万**求职者的个人数据,成为法国历史上最大规模的数据泄露事件。2026年1月,CNIL根据GDPR第32条对France Travail处以**500万欧元**罚款,而公共机构的最高罚款额为1000万欧元。
- 在2024年至2025年间,超过**1.45亿条**属于法国公民的记录在公共服务、医疗保健、电信和零售领域被暴露,这相当于每位法国居民平均经历了多次数据泄露。
- 四大法国电信公司中的三家(Free、Bouygues Telecom、SFR)在2024-2025年确认发生了数据泄露,仅Free和Bouygues Telecom就暴露了超过**1100万用户**的IBAN。
- CNIL在2026年1月13日对**Free Mobile(2700万)和Free(1500万)处以创纪录的4200万欧元**合并罚款,这标志着从警告向惩罚性执法的转变。
- 法国的数据控制者必须在意识到个人数据泄露后的**72小时内**,根据GDPR第33条向**CNIL**报告。重要目标运营商(OIV)和基础服务运营商(OSE)还需要通知**ANSSI**;到2026年,将NIS2转化为法国法律的工作仍在进行中。
## 1. 简介
法国已成为欧洲遭遇数据泄露最严重的司法管辖区之一。在2024年至2025年间,超过**1.45亿条**属于法国公民的记录在公共服务、[医疗保健](https://www.corbado.com/passkeys-for-healthcare)、[电信](https://www.corbado.com/passkeys-for-telecom)和[零售](https://www.corbado.com/passkeys-for-e-commerce)领域被暴露,从统计学上讲,**每位法国居民都卷入了多次泄露事件**。根据[CNIL](https://www.cnil.fr/en)的数据,2024年收到了超过5600份违规通知,创下历史新高。
本文列举了法国近代史上最重要的10大数据泄露事件,从France Travail事件中暴露的4300万条记录到Cegedim Santé健康软件的泄露,并解析了适用于在法国运营的任何组织的CNIL报告规则、罚款和预防模式。
## 2. 为什么法国会成为数据泄露的诱人目标?
法国高度数字化的[公共部门](https://www.corbado.com/passkeys-for-public-sector)、密集的[医疗保健](https://www.corbado.com/passkeys-for-healthcare)[支付](https://www.corbado.com/passkeys-for-payment)生态系统,以及三大[电信](https://www.corbado.com/passkeys-for-telecom)运营商各自掌握的数千万用户记录,共同构成了一个巨大的攻击面。加上与其他国家相比在网络安全方面长期投资不足,以及针对一线顾问的社会工程学攻击,导致法国在2024-2026年经历了一系列破纪录的泄露事件。
### 2.1 高度数字化的公共部门
法国拥有欧洲最先进的电子[政府](https://www.corbado.com/passkeys-for-public-sector)系统之一。国家身份联邦FranceConnect负责路由对税务、[医疗保健](https://www.corbado.com/passkeys-for-healthcare)、就业和家庭福利的访问。因此,一个受损的顾问账户可能会暴露跨越数十年的记录,如France Travail、Pass'Sport和OFII事件所示。[公共部门](https://www.corbado.com/passkeys-for-public-sector)掌握着公民从生到死的数据,形成了规模空前的敏感记录集中区。
### 2.2 密集的第三方处理者生态系统
法国的健康[保险](https://www.corbado.com/passkeys-for-insurance)依赖于少数几个“第三方支付”(tiers payant)平台(Viamedis、Almerys、Cegedim),这些平台为数十家互助保险公司处理数据。因此,一次入侵会波及数千万保单持有人。同样的模式也出现在[电信](https://www.corbado.com/passkeys-for-telecom)领域(Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom)通过第三方供应商发生2025年泄露)以及[电子商务](https://www.corbado.com/passkeys-for-e-commerce)领域。即使是拥有成熟内部安全计划的组织,也会因其供应商网络而面临风险。
### 2.3 网络安全长期投资不足
Edouard.ai等[独立分析](https://edouard.ai/blog/france-data-leaks-2025-bouygues-passsport-impots)估计,法国的网络安全公共支出约占**GDP的0.03%**(这是一个估计值,非官方数据),明显低于欧洲同等国家。历史上,CNIL的平均罚款一直低于欧盟同行,降低了安全松懈的财务威慑力,但监管机构目前正通过对Free Mobile、France Travail等机构实施创纪录的制裁来弥补这一差距。
### 2.4 社会工程学与MFA漏洞
法国几起最大的事件(France Travail、Viamedis、Free)都始于针对顾问或员工门户的网络钓鱼或账户接管,而这些门户并未强制实施抗钓鱼的MFA。在每种情况下,攻击者都针对**边缘环节的人员**,而不是核心基础设施。FIDO联盟将通行密钥(passkeys)归类为设计上抗钓鱼的,因为每个通行密钥都绑定到合法源,不能对攻击者控制的网站进行重放。尚未推出通行密钥或硬件支持身份验证的法国公共服务和电信公司仍然容易受到此类攻击的影响。
## 3. 法国10大数据泄露事件
自2023年以来,法国最大的十起数据泄露事件总共暴露了至少**1.45亿条记录**,并截至2026年1月引发了总计**4700万欧元**的CNIL罚款。它们涵盖了公共服务(France Travail、Pass'Sport)、医疗平台(Viamedis、Almerys、Cegedim Santé)、电信(Free、Bouygues Telecom)和消费者[零售](https://www.corbado.com/passkeys-for-e-commerce)(ManoMano、Sport 2000)。下表总结了范围、年份和监管结果;随后是详细的案例描述和预防模式。
| 排名 | 公司 / 实体 | 年份 | 记录或范围 | 监管结果 |
| --- | --- | --- | --- | --- |
| 1 | France Travail | 2024 | 多达4300万 | **500万欧元CNIL罚款 (2026)** |
| 2 | ManoMano | 2026 | 多达3780万 (声称) | 正在审查中 |
| 3 | Viamedis和Almerys | 2024 | 3300万 | CNIL调查进行中 |
| 4 | Free / Free Mobile | 2024 | 2460万 (511万IBAN) | **4200万欧元CNIL罚款 (2026)** |
| 5 | Cegedim Santé (MLM) | 2025 | 1500万 | 展开刑事调查 |
| 6 | France Travail (MOVEit) | 2023 | 1000万 | 无单独CNIL罚款 |
| 7 | Bouygues Telecom | 2025 | 640万 (含IBAN) | 已通知CNIL和ANSSI |
| 8 | Pass'Sport | 2025 | 640万个电子邮件地址 | 已通知CNIL |
| 9 | Sport 2000 | 2024 | 320万 | HIBP索引,已通知CNIL |
| 10 | Fédération Française de Football | 2025 | 约240万注册会员 | 已通知CNIL |
### 3.1 France Travail 数据泄露事件 (2024)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2024年3月 |
| 受影响客户数 | 多达4300万 |
| 泄露数据 | - 姓名全称
- 出生日期和地点
- 社会安全号码 (NIR)
- France Travail ID
- 电子邮件地址
- 邮政地址
- 电话号码 |
2024年3月,France Travail(前身为Pôle Emploi)和Cap Emploi披露了如今被认为是法国历史上最大规模的数据泄露事件。攻击者利用**社会工程学**劫持了Cap Emploi顾问(为残疾人提供支持的组织)的账户,并访问了过去20年内注册的所有个人的数据,以及在francetravail.fr上有资料的候选人数据。据[CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail)称,可能有多达4300万人受到影响。
2026年1月22日,[CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail)根据GDPR第32条对France Travail处以**500万欧元**罚款,而公共机构的法定最高罚款额为1000万欧元。监管机构指责其“无视基本安全原则”,并命令以每天5000欧元的罚金进行整改。这已经是France Travail的第二次泄露:2023年8月,与Cl0p勒索软件团伙利用MOVEit Transfer零日漏洞相关的第三方事件,已经暴露了1000万用户的数据。
预防方法:
- 对访问海量公民数据的所有顾问和管理员账户强制实施抗钓鱼的MFA(通行密钥)
- 在公民数据库中应用批量查询异常检测和严格的数据保留规则
### 3.2 ManoMano 数据泄露事件 (2026)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2026年2月 |
| 受影响客户数 | 多达3780万 (声称) |
| 泄露数据 | - 身份数据
- 联系方式
- 管理信息 |
2026年2月,法国DIY[电子商务](https://www.corbado.com/passkeys-for-e-commerce)巨头ManoMano被威胁行为者点名参与了一场跨越多个法国网络安全跟踪器的数据销售。该行为者声称已窃取了**多达3780万客户记录**,包括身份数据、联系方式和管理信息。该声明的规模与平台的累计欧盟用户群相符,而非活跃的法国客户,但该事件仍是观察到的与法国相关的数据销售量最大的事件之一。
这次暴露突显出,法国大型消费者[市场](https://www.corbado.com/passkeys-for-e-commerce)已与银行或电信公司一样,成为对攻击者具有同等吸引力的目标,特别是当这些数据可以与之前的泄露结合以构建欺诈性的“身份图谱”时。
预防方法:
- 持续监控地下论坛和违规[市场](https://www.corbado.com/passkeys-for-e-commerce)中暴露的客户列表,并在客户终端上实施强大的API速率限制
- 尽量减少历史性、低活跃度客户资料的保留
### 3.3 Viamedis和Almerys 数据泄露事件 (2024)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2024年1月-2月 |
| 受影响客户数 | 3300万 |
| 泄露数据 | - 姓名
- 出生日期
- 保险公司详情
- 社会安全号码
- 婚姻及民事状况
- 第三方支付权限 |
2024年1月和2月,法国两家负责补充健康[保险](https://www.corbado.com/passkeys-for-insurance)的第三方[支付](https://www.corbado.com/passkeys-for-payment)处理商Viamedis和Almerys接连遭到入侵。CNIL确认,这两起事件合并影响了**3300万人,接近法国人口的一半**。
Viamedis的入侵被追溯为针对医疗保健专业人员的**网络钓鱼攻击**,使攻击者能够在提供商门户上重复使用窃取的凭据。Almerys涉嫌通过类似的医疗保健专业人员门户遭到攻击。
> “这是首次发生如此规模的违规事件。” — Yann Padova,CNIL前秘书长 (2024年)
预防方法:
- 为每位访问受保成员数据的医疗保健专业人员部署抗钓鱼的MFA(通行密钥)
- 对第三方支付平台进行分段,以防一个受损门户暴露整个国家数据库
### 3.4 Free 数据泄露事件 (2024)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2024年10月 |
| 受影响客户数 | 2460万份合同(1946万Free Mobile + 517万Free),包括511万IBAN |
| 泄露数据 | - 姓名全称
- 电子邮件地址
- 出生日期
- 邮政地址
- 电话号码
- 511万IBAN (仅限Free) |
2024年10月,Free(法国第二大ISP及Iliad集团的子公司)确认,攻击者入侵了内部管理工具并窃取了**1946万份Free Mobile和517万份Freebox合同**的数据,其中包括**所有511万名Freebox客户的IBAN**。这些数据很快被名为“drussellx”的威胁行为者在BreachForums上拍卖,最终出价达到17.5万欧元。
Free强调,密码、[支付](https://www.corbado.com/passkeys-for-payment)卡数据和通信内容未受影响,但IBAN、姓名全称和出生日期的组合足以进行直接借记欺诈和高质量的网络钓鱼。2026年1月13日,[CNIL对Free Mobile和Free分别处以2700万欧元和1500万欧元的制裁](https://www.cnil.fr/en)(合计4200万欧元),原因是订户数据安全措施不足,这是法国有史以来针对数据泄露发出的最大合并GDPR制裁之一。
预防方法:
- 使用抗钓鱼的MFA和即时访问权限保护特权内部工具
- 对IBAN和支付标识符进行标记化处理,使订户记录不具备直接变现能力
### 3.5 Cegedim Santé (MLM) 数据泄露事件 (2025)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2025年10月 |
| 受影响客户数 | 约1500万患者 |
| 泄露数据 | - 行政患者数据(姓氏、名字、性别等)
- 跨越15年的1900万条记录 |
2025年10月,攻击者入侵了“MonLogicielMedical.com”(MLM),这是一款由[Cegedim Santé](https://www.cegedim.com/)编辑并被数千名法国医疗保健专业人员使用的医疗实践管理软件。根据法国卫生部的数据,该事件暴露了**约1500万法国患者的行政数据**,跨越长达15年的历史,包含1900万条数字记录线。
在2026年2月的澄清中,Cegedim Santé表示,涉及的数据**完全是行政数据**(如姓氏、名字和性别等身份类型信息),结构化的临床记录、自由文本的医学评论以及如HIV状态等敏感诊断均**未被卷入**。2025年10月27日启动了针对“违反自动化数据系统”的刑事调查。
> “这可能是法国医疗保健历史上最大规模的泄露事件。” — Gérôme Billois,Wavestone网络安全专家 (2025年10月)
预防方法:
- 对每位访问云医疗软件的从业者强制实施强身份验证(通行密钥)
- 在SaaS医疗平台中,对行政身份数据和临床记录实施严格的数据最小化和隔离
### 3.6 France Travail MOVEit 泄露事件 (2023)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2023年8月 |
| 受影响客户数 | 约1000万 |
| 泄露数据 | - 姓名全称
- 社会安全号码
- 联系方式 |
在成为2024年头条新闻的事件之前,France Travail已经是一起与Cl0p勒索软件团伙利用Progress MOVEit Transfer软件中零日漏洞相关的第三方违规事件的受害者。这次攻击暴露了约**1000万求职者**的个人信息,包括姓名、NIR(社会安全号码)和联系方式。这是影响全球数百个组织的全球MOVEit供应链浪潮的一部分,并预示了同一机构2024年更大规模的泄露。
预防方法:
- 保持向互联网暴露的第三方文件传输软件清单的更新,并应用针对零日窗口期的虚拟补丁
- 将文件传输管道与核心HR及公民数据库分离开来
### 3.7 Bouygues Telecom 数据泄露事件 (2025)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2025年8月 |
| 受影响客户数 | 640万 |
| 泄露数据 | - 姓名全称
- 邮政地址
- 电话号码
- 出生日期
- 合同数据
- IBAN |
2025年8月4日,法国主要移动运营商之一的Bouygues Telecom(拥有约1450万移动订户,总客户群约2300万)发现针对其客户管理系统的网络攻击。两天后,该公司确认攻击者已访问**640万客户**的个人和合同数据,包括IBAN。密码和支付卡号未被泄露。
该泄露被认为源自第三方供应商,并已报告给CNIL和ANSSI。根据[法国刑法典第323-1条](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/),攻击者因未经授权访问自动化数据处理系统面临最高三年监禁,如果数据被更改或系统受损,则升至五年。Bouygues Telecom本身也因其第三方风险管理面临CNIL的GDPR审查。该事件是影响更广泛的模式的一部分,SFR(2025年9月,[银行](https://www.corbado.com/passkeys-for-banking)详细信息)和Free在2024-2025年也遭遇了类似情况。
预防方法:
- 将第三方供应商视为核心攻击面的一部分,并要求在所有连接的系统中实施抗钓鱼的MFA
- 对IBAN和其他支付标识符进行标记化处理,以限制批量数据盗窃的价值
### 3.8 Pass'Sport 数据泄露事件 (2025年12月)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2025年12月 |
| 受影响客户数 | 350万户家庭 (640万个唯一电子邮件地址) |
| 泄露数据 | - 受益人及家长身份
- 联系方式
- 行政信息 |
Pass'Sport是由法国体育部运营的法国[政府](https://www.corbado.com/passkeys-for-public-sector)项目,向符合条件的年轻人提供**70欧元补贴**(之前为50欧元)用于体育俱乐部会员。在2025年12月17日至18日晚,一份包含超过2200万行数据的15GB文件出现在网上。最初的媒体报道错误地将泄露归咎于Caisse d'Allocations Familiales (CAF),后者公开否认对caf.fr的任何入侵。体育部随后确认,数据来源于**Pass'Sport信息系统**,涵盖约**350万户家庭及受益人及其父母或监护人的640万个唯一电子邮件地址**。
暴露的记录涵盖了2024年9月至2025年11月,包括完整的身份信息、邮政地址、电话号码和电子邮件地址,但不含[银行](https://www.corbado.com/passkeys-for-banking)数据或密码。该数据集对针对有未成年人家属的家庭进行精准网络钓鱼尤其有价值,且很大一部分已被[Have I Been Pwned](https://haveibeenpwned.com/)索引。
预防方法:
- 对处理未成年人数据的系统应用最严格的保护,包括对管理员强制实施抗钓鱼的MFA
- 在项目到期后,尽量减少保留受益人数据的持续时间
### 3.9 Sport 2000 数据泄露事件 (2024)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2024年4月 |
| 受影响客户数 | 320万个唯一电子邮件地址 (440万条记录) |
| 泄露数据 | - 姓名全称
- 电子邮件地址
- 电话号码
- 邮政地址
- 出生日期
- 每家商店的购买历史 |
2024年4月,法国体育用品零售商**Sport 2000**遭受了数据泄露,后来[被Have I Been Pwned索引](https://haveibeenpwned.com/Breach/Sport2000)。化名为“ChatNoir7331”的威胁行为者在黑客论坛上发布了一个包含**440万行、320万个唯一电子邮件地址**的数据库以供出售,随后该数据集在2024年6月被免费重新发布。泄露包含姓名、电子邮件和邮政地址、电话号码、出生日期以及与特定门店位置关联的详细购买历史。
联系数据与每家门店购买历史的结合使得Sport 2000泄露对于高度精准的网络钓鱼(“您最近在Sport 2000里昂店的购买……”)非常有用,并说明了当营销数据库分段不足时,中型法国零售商如何产生消费者规模的泄露。
预防方法:
- 对营销和交易数据库进行分段,并轮换第三方营销工具使用的访问令牌
- 尽量减少与可识别客户相关联的历史购买数据的保留
### 3.10 Fédération Française de Football 数据泄露事件 (2025)
| 详情 | 信息 |
| --- | --- |
| 日期 | 2025年 |
| 受影响客户数 | 约240万注册会员 |
| 泄露数据 | - 会员身份
- 出生日期
- 联系方式
- 执照号码 |
在2025年,[Fédération Française de Football (FFF)](https://www.fff.fr/)披露了一起暴露其注册会员个人数据的违规事件。FFF为2023-2024赛季公布了约**238万注册会员**。根据FFF自己的“数据盗窃(vol de données)”通知,事件涵盖了身份和联系数据(姓名、出生日期、执照号码和部分身份证件),并**明确排除了健康数据**。FFF事件也是波及Fédération Française de Voile、Fédération Française de Gymnastique、Fédération Française de Tir等机构的浪潮的一部分,证实了法国体育联合会因其庞大且具有历史存储的数据集和相对薄弱的IT安全预算,已成为有吸引力的目标。
预防方法:
- 优先投资掌握数十年会员数据的联合会和非营利组织的网络安全
- 删除操作执照不再需要的历史记录
## 4. 如何在法国报告数据泄露
法国的数据控制者必须在意识到个人数据泄露后的**72小时内**,根据GDPR第33条向[CNIL](https://www.cnil.fr/en)报告。如果泄露可能对个人的权利和自由造成高风险,GDPR第34条要求不得无故拖延地通知他们。重要目标运营商(OIV)和基础服务运营商(OSE)还需通知[ANSSI](https://www.ssi.gouv.fr/en/);将NIS2指令全面转化为法国法律的工作到2026年仍在进行中。
### 4.1 GDPR 72小时规则 (第33条)
根据[GDPR第33条](https://gdpr-info.eu/art-33-gdpr/),数据控制者必须在意识到个人数据泄露后**不超过72小时内**向CNIL报告。如果延迟通知,控制者必须提供延迟的理由。通知必须描述泄露的性质、受影响个人的类别和大致数量、可能产生的后果以及已采取或提议采取的措施。
### 4.2 主管机构:CNIL
与德国16个州级的DPA不同,法国只有一个国家监管机构:**Commission Nationale de l'Informatique et des Libertés (CNIL)**。CNIL对公共和私营部门控制者执行GDPR,并有权施加高达2000万欧元或全球年营业额4%(以较高者为准)的行政罚款。最近对Free Mobile和Free(共4200万欧元,其中2700万针对Free Mobile)和France Travail(500万欧元)的合并制裁表明,CNIL已从警告转向惩罚性执法。
### 4.3 OIV、OSE和NIS2的ANSSI报告
重要目标运营商(**OIV**)和基础服务运营商(**OSE**)必须向法国国家网络安全机构[ANSSI](https://www.ssi.gouv.fr/en/)额外报告重大网络事件。NIS2指令将强制报告范围扩展到更多部门,包括数字服务提供商、制造业和废物管理。2026年,其转化为法国法律的工作仍在进行中,ANSSI表示将在此过程中进行沟通;欧盟委员会也针对不完全转化发布了合理意见。一旦生效,报告将遵循分阶段的时间表:**24小时内早期预警,72小时内全面通知**,以及一个月内提交最终报告。
### 4.4 个人通知 (第34条)
当泄露很可能对个人的权利和自由产生高风险时,[GDPR第34条](https://gdpr-info.eu/art-34-gdpr/)要求以清晰易懂的语言直接通知受影响的人。France Travail、Viamedis、Free和Cegedim Santé等案件均触发了第34条义务。未进行通知通常是除了潜在泄露之外引发额外监管处罚的一个常见触发因素。
## 5. 法国数据泄露的趋势
在十个案例中,反复出现了四种模式:公民数据高度集中在数字化的[公共部门](https://www.corbado.com/passkeys-for-public-sector),第三方和供应链妥协作为主导入口,凭证填充将法国公共门户变为软目标,以及CNIL在执法上正在快速追赶。了解这些模式比记住个别事件更具操作性。
### 5.1 公共部门数字化创造了全国性的攻击面
France Travail、OFII、FICOBA和Pass'Sport展示了有多少公民数据集中在少数公共平台上。Cap Emploi的一个受损顾问账户就足以暴露4300万条记录;一个泄露的Pass'Sport合作伙伴集成足以暴露350万户家庭。法国对**FranceConnect**和共享公共服务登录的依赖放大了这种风险:一个与NIR关联的受损密码即可同时解锁多个公共服务。
### 5.2 第三方供应商是关键的薄弱环节
Viamedis、Almerys、Cegedim Santé、Bouygues Telecom和2023年France Travail MOVEit事件拥有相同的根本原因:即第三方受损,而不是主要品牌。即使内部安全措施成熟的组织,也可能通过其供应商网络暴露出弱点。第三方支付(tiers-payant)健康[保险](https://www.corbado.com/passkeys-for-insurance)模式中,少数处理商为数十家互助保险公司处理数据,该模式特别容易受单点故障导致泄露的影响。
### 5.3 凭证填充让公共门户成为软目标
每次法国泄露事件后,凭证填充就成为了默认的后续攻击方式。在2024年2月,黑客组织LulzSec声称通过密码重用在未对caf.fr发生任何技术入侵的情况下影响了**多达60万个CAF账户**。随后的2024年8月,在一个黑客论坛上曝光了另外60369个CAF登录组合(NIR + 密码)。只要法国的公共服务还接受密码登录,欧洲任何地方的新数据泄露都会成为针对它们开展凭证填充攻击的养料。
### 5.4 CNIL执法力度正在迎头赶上
截至2026年1月,CNIL已从警告转向惩罚性执法。2026年1月13日,Free Mobile和Free被联合罚款**4200万欧元**(其中对Free Mobile为2700万,对Free为1500万),并且France Travail在2026年1月22日根据GDPR第32条被罚款**500万欧元**(公共机构法定最高限额为1000万欧元)。历史上,CNIL的平均罚款仍远低于GDPR上限。结合在第82条下越来越多的集体诉讼式损害索赔,法国已步入与德国、荷兰和爱尔兰相同的执法梯队。
## 6. 结论
法国最近最严重的十大泄露事件讲述了一个一致的故事:凭证和第三方访问是共同特征。France Travail受到社会工程攻击的顾问账户,Viamedis受网络钓鱼的医疗保健专业人员,Free受损的内部工具,Pass'Sport泄露的合作伙伴集成,以及Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom)的第三方供应商,这一切都指向同一个根本弱点:面对保存着数十年公民数据的系统时,员工和供应商却仍用密码进行身份验证。
相应的对策也同样一致:诸如通行密钥这类抗钓鱼认证方式、严密的第三方访问管理、持续的暗网监控以及针对72小时内通报CNIL的战备状态。随着CNIL如今开出数千万甚至上亿欧元的罚单,那些在2026年将上述措施列为董事会级别优先事项的法国组织,将能避免前三年发生在法国的数据泄露事件中所经历的监管处罚与名誉损害。
## 常见问题解答
### 2024年的France Travail数据泄露事件是什么?
2024年3月,France Travail(前身为Pôle Emploi)和Cap Emploi披露了法国历史上最大规模的数据泄露事件。攻击者利用社会工程学劫持了Cap Emploi顾问的账户,并窃取了过去20年内多达4300万求职者的个人数据,包括姓名、出生日期、社会安全号码、France Travail ID和联系方式。2026年1月22日,CNIL根据GDPR第32条对France Travail处以500万欧元罚款,而公共机构的法定最高罚款额为1000万欧元。
### 如何在法国报告数据泄露事件?
根据GDPR第33条,法国数据控制者必须在意识到个人数据泄露后的72小时内通知CNIL。如果该泄露可能对受影响个人的权益造成高风险,则第34条要求在没有无故延迟的情况下向其本人发出通知。根据现行法国法律,重要目标运营商(OIV)和基础服务运营商(OSE)须向ANSSI报告;有关将NIS2指令全面转化为法国法律的进程到2026年仍在进行中。
### 法国因数据泄露收到的最高CNIL罚款是多少?
2026年1月13日,因安全措施不足导致2024年2460万份合同(含511万个IBAN)外泄,CNIL对Free Mobile和Free联合罚款4200万欧元(分别为2700万和1500万欧元)。这是法国针对数据泄露发布的最大的合并GDPR制裁案之一。同时,France Travail于2026年1月22日根据第32条被罚款500万欧元。
### 为什么法国会成为数据泄露的主要目标?
法国不仅拥有高度数字化的公共部门(France Travail、CAF、DGFiP、OFII)和密集的医疗支付生态系统(Viamedis、Almerys、Cegedim),还聚集了各掌握数千万用户记录的三大电信运营商。与GDP相比,在网络安全方面长期投资不足、严重依赖第三方平台,加之针对面向公众的顾问开展的社会工程攻击,这些都解释了为何在2024至2025年间有超过1.45亿条法国民众信息遭到泄露。
### 法国的数据泄露如何助长凭证填充攻击?
数据泄露暴露了通常在暗网论坛交易的电子邮件地址、社会安全号码以及密码。攻击者利用人们重用密码的习惯,将这些凭证反复在银行、公共服务平台及零售商进行验证。2024年2月发生的CAF事件,在未对caf.fr产生任何技术入侵的情况下,通过凭证填充导致了多达60万个账户遭到入侵;这证明在披露发生后很久,法国的数据泄露依然能持续助长后续攻击。