文/麻策律师
德国数据保护当局近日在德国境内作出第一例基于《欧盟通用数据保护条例》(GDPR)而作出的罚单。德国一聊天社交平台Knuddels.de竟然是因为以明文方式存放其用户的账号密码这么低级的错误,而被判罚承担2万欧元的罚款。
事情的起因在于2018年夏天,有黑客攻击了Knuddels.de平台,然后发现约有808,000封电子邮件地址和180多万个用户名和密码被曝光,黑客后来还在部分提供云存储服务的网上以明文形式公布了这些信息。德国数据保护当局调查显示,Knuddels.de平台确实以纯文本形式存储用户数据, 没有任何保障措施。
值得一提的是,相关媒体报道,Knuddels.de平台曾在网站上声称“2012年,公司通过哈希方式加密存储了用户的密码”,但令人啼笑皆非的是,该平台在使用哈希加密的方式存储后,竟然同时把非哈希版本的明文账号密码也保留在了网络服务器上。发生黑客事件后,该平台很快删除了未哈希版的密码版本,并表示"很抱歉, 我们没有早点采取这一步骤"。这个处罚也来得太simple了。
在发生黑客攻击事件后,knuddels通知了其用户, 暂时停用了所有账户,并向监管当局进行了报告,以及实施更多的安全措施。
GDPR第32条(数据处理安全性)条款要求数据控制者和处理者应当采取适当的技术和组织措施保证安全与风险一致性,包括要对个人数据进行假名化和加密处理。同时,GDPR第33条(泄露报告)条款要求个人数据泄露的情况下,控制者应当尽快且最迟自知道该泄露之时起72小时之内,通知监管机构。GDPR第34条(数据主体告知)条款要求如果个人数据泄露可能对自然人的权利和自由造成高风险,控制者应当毫无延误地就个人数据泄露和数据主体进行交流,这种交流应当以清晰平实的语言描述个人数据泄露的性质和内容,并至少告知用户dpo姓名和联系方式、泄露的后果、数据控制者为此所采取的措施或计划采取的措施。
在这起罚款事件上中,监管的处罚本来会更高, 但因为knuddels与德国数据保护当局有着较高的合作透明度和配合度,因此处以了目前程度的罚款。其实,根据事件的严重程度, GDPR规定最高可处以2000万欧元的罚款, 或上一会计年度年收入的4%。德国数据保护当局表示, 处罚应当是“罪责刑相符合”,并公告认为 "那些从危害中吸取教训并以透明方式采取行动改善数据保护的人, 作为一家公司, 在黑客攻击中可能会变得更加强大。",并认为“德国数据保护当局没有意愿加入GDPR最高罚款的案例竞争”。
GDPR颁布后,确实有很多机构一直在声明GDPR最厉害的地方在于罚款额度之高,但其实,GDPR第83条规定“行政罚款应当在个案中有效、与违反本条例的行为相称并具有惩戒性”,在确定罚款数额时,应当考虑多达10余项因素,包括违法行为的性质、严重程度、故意或过失、采取的措施、以前的违法行为、为了补救不利影响而和监管机构的配合程度、受影响的个人数据类别、是否履行的报告等等。
所以最高可处以2000万欧元的罚款的可能性并不总是如影随形,毕竟谁都不敢去处以这个最高的罚款金额,因为谁都不知道最为严重的GDPR违法事件会是什么样子的。这像极了国内的刑案案件处罚,像互联网金融中P2P非法吸收公众存款,以前几千万就可以判个5年,现在动不动就上亿,数十亿,你叫法官怎么判,总不可能超过法定刑10年吧,所以,这也是监管机构的潜判心理。
所以,咱在写《隐私政策》时也长点心吧,因为很多人写到“我们如何保护您的个人信息”这一篇章时,经常是没什么新意,觉得按模板写就好了,其实每一个技术措施都应当和公司进行一一确认,不要少了更不能多了。
声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。