史上最严格的个人信息保护法—欧盟的通用数据保护条例(General Data Protection Regulation,GDPR)上路届满半年,德国出现了第一桩开罚案,而这家收到 2 万欧元罚款的公司为社交聊天平台 Knuddels,在今年 7 月遭黑客入侵,德国数据保护监管机构经调查后发现,Knuddels 居然是以纯文本的方式存储用户密码,而没有加密,显然未做好用户数据安全的保护,因此对该公司开发 2 万欧元。
尽管 GDPR 属于欧盟国家的规范,但其实影响的不只是欧盟居民,只要有在欧洲提供服务的外商也必须做出相对应的管理机制,同时,Facebook 数据门事件使得全球政府都相当关注用户信息、隐私保护的问题,欧盟法规往往是各国的标竿,在 GDPR 的带头下,其他政府也在思考该如何保护并捍卫民众的权益,制定符合自己国情的数据保护条例。
图|德国社交平台 Knuddels 违反 GDPR,遭罚 2 万欧元(图片来源:knuddels)
居然明文存储用户密码
据外媒 Securityaffairs 报道,2018 年 7 月黑客入侵Knuddels,盗走了用户资料,包括用户名称、密码、用户个人档案中的电子邮件位址、姓名与居住地等,而且还在互联网上发布超过 80 万个电子邮件地址,以及超过 180 万个用户的用户名称及密码。
Knuddels 发现数据泄露后,随即通知并强迫用户更改密码,并向当地巴登-符腾堡州(Baden-Württemberg)的数据保护机构 Data Protection and Freedom of Information(LfDI)申报,但令人惊讶的是,Knuddels 被发现居然是明文存储所有用户的密码,而没有采取加密制度。
日前巴登-符腾堡州 LfDI 对外宣布,Knuddels 以明文形式存储密码,违反其处理个人数据时确保数据安全的职责,决定对其处罚 2 万欧元,后续将继续确保该公司在用户安全做出改进。
欧盟在 2016 年通过 GDPR,用以取代 1995 年制定的”欧盟数据指令”(EU Data Directive),并在今年 5 月正式上路实施。DT 君认为,GDPR 规范说明包含11 个章节、多达 99 个条款,内容十分复杂,而且部分执行条款留有一些解释的余地,意味着解释空间很大,但简单来说有三个特色、一个总结,三个特色分别是带有强烈人权保护色彩、个人资料涵括范围最广、以及罚款金额制度最高,一个总结就是 GDPR 将重点放在”数据道德”和”治理”上。
图|欧盟在 2016 年通过 GDPR,今年 5 月正式上路实施(图片来源:knuddels)
开罚意在改善安全机制,而非巨额罚款
外界之所以将 GDPR 视为是史上最严格的信息保护令,除了涵盖范围广泛之外,就是罚金制度,轻则数万欧元,最重则可处以该公司全年全球营业额的 4%,或 2,000 万欧元(两者以较高数额为准)的罚款,因此恐怕让一些初创公司及中小企业无力招架。
当时,GDPR 即将上路之前,正好爆发了 Facebook 数据丑闻案,因此 GDPR 一上路后,Google 与 Facebook 立刻就被奥地利的隐私权倡议组织 None of Your Business 提告,目前尚未判决,当时不少人希望GDPR 对这家两大互联网巨擘击出重拳,开出天价罚单以大快人心。
但是,从此次 Knuddels 的案例来看,可以看到德国监管机关的态度更看重的是企业的安全保护机制,以及事后的补救态度及方式,2 万欧元并不是一个很昂贵的罚单,小警告的意味更胜于实际上的处罚。巴登-符腾堡州 LfDI 国家专员 Stefan Brink 表示,LfDI 并不想开出一个巨额罚款,因为最终目标是改善隐私和数据安全为用户,所以他们衡量了knuddels 合作态度良好,快速积极采取行动以改善安全机制,并且评估 Knuddels 的整体财务情况之后,祭出 2 万欧元的罚款。
