案件詳情
2016年Uber遭網絡攻擊,黑客獲取Uber平臺上英國270萬名和荷蘭17.4萬名Uber客戶的個人詳細信息,其中包括全名、電子郵件地址和電話號碼。
在將這一事件隱瞞了一年多之後,Uber於去年11月承認黑客竊取了公司全球範圍內5700萬用戶和司機的隱私數據。該公司還甚至向黑客支付了10萬美元,以要求後者刪除數據和掩蓋漏洞。
2016年10月和11月,“英國信息專員辦公室”(The U.K.'s Information Commissioner's Office)宣佈對這家拼車公司處以38.5萬英鎊(約合49萬美元)的罰款,原因是該公司“在一次網絡攻擊中未能有效保護客戶個人信息”。
2018年11月29日,“荷蘭數據保護局”(The Dutch Data Protection Authority)因其違反數據泄露報告義務,對Uber BV和Uber Technologies,Inc.(UTI)處以60萬歐元(約合66萬美元)的罰款。原因是,2016年Uber發生了數據泄露事件,導致未經授權的人員可以訪問客戶和駕駛員的個人數據。且Uber沒有在發現泄漏的72小時內通知荷蘭數據保護局和涉案人員。
PS:荷蘭數據泄露報告義務
數據泄露報告義務意味着組織(公司和政府)在嚴重數據泄露時必須立即向荷蘭數據保護局(AP)報告。有時,他們還必須向相關人員(被泄露個人數據的人)報告數據泄露情況。
影響評價
此次信息泄露事件導致全球有超過5700萬Uber用戶受到此數據泄露的影響,其中包括約17.4萬荷蘭人和英國270萬名Uber用戶。涉及到的個人數據包括,例如客戶和駕駛員的姓名,電子郵件地址和電話號碼。
“英國信息專員辦公室”調查總監史蒂夫-埃克斯利(Steve Eckersley)表示:“這不僅是Uber方面數據安全的嚴重失敗,也是對個人信息被盜的客戶和司機的完全無視。當時,Uber沒有采取任何措施通知受影響的用戶,也沒有提供幫助和支持,這也讓他們變得更加容易受到攻擊。”
該辦公室還表示,此次網絡攻擊使客戶和司機面臨更大的欺詐風險,這是對英國1998年《數據保護法》的嚴重違反。荷蘭監管機構則表示,對Uber處以罰款是因爲它沒有在該國規定的72小時期限內報告自己的違規行爲。
合規啓示
由於網絡攻擊發生在2016年,因此此案不受2018年5月生效的歐盟《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)約束。如果在這一新規下,Uber可能面臨更加嚴重的罰款,罰款最高可達其全球年營收的4%,或者2000萬歐元(以數額較大的爲準)。
2018年9月Uber同意支付1.48億美元,與美國的50個州和華盛頓特區達成了和解,了結自己2016年在美國各地同數據泄露相關的索賠。也許這對於市值約600多億美元的Uber來說,有經濟實力來解決。但是對於小衆公司,鉅額的罰款很可能導致企業直接破產倒閉。最近一份由美國國家網絡安全聯盟 (NCSA) 委託 Zogby Analytics 執行的聚焦中小企業所遭網絡犯罪影響的調查研究揭示,2019 年遭遇網絡攻擊的小公司中有 69% 的小公司暫時被迫下線,37% 遭受財務損失,10% 被迫關門歇業。
2018年5月GDPR實施以來,各國都在明顯加大對信息泄露事件的處罰力度。2018 年美國加州通過消費者隱私法案(CCPA),緩衝一年多後,將於 明年 1 月生效。據分析,CCPA 的處罰比 GDPR 要嚴厲得多。即使是無意中發生了泄露,CCPA 規定每位用戶 100 到 750 美元,或者以泄露造成的實際損失計算罰款。因此對於一些公司而言,很可能罰款會使其直接破產。
由此可見
1、發生數據泄露事件後在規定的時間內向有關監管部門報告是必要的行爲。在荷蘭對Uber的處罰案中,因其信息泄露後沒有在72小時內向有關監管部門報告被罰,在GDPR中也有這樣的規定。並且企業應該採取積極止損的方式,與監管機構保持良好密切的溝通,有助於將影響和損失控制在儘可能小的範圍內。
2、對出海企業而言,在不同的市場區域要遵守不同國家的法律。比如,自2018年GDPR生效後,就在歐盟成員國中普遍適用。而在美國,每個州都有其立法權,美國加州即將於明月1月實行其消費者隱私法案(CCPA)。因此,企業要針對自己的產品去向做好相應的安全防範工作。
3、組織人員參加必要的安全培訓很有必要。培訓可以幫助企業在學習相關法律法規的同時,教會企業員工如何做好防禦的準備。
本文由SCA結合相關法律文件整理,轉載請註明出處。