文章摘要:近年来,人们在享受数字时代的各种便利时,也难以摆脱数据风险所带来的各种担忧。虽然互联网的安全性越来越高,但是令人咋舌的信息泄露事件依然持续发生。数据泄露引发全民关注。上至国家政府,下至公民、企业,都曾陷入数据泄露事件。从金融保险、教育、医疗、科技到政府,数据泄露涉及许多行业。并且,受数据泄露影响的用户范围广泛,类型多样,既有网站注册用户、大学员工、医疗患者,也有艾滋病感染者、警察、孕妇等。今年以来
近年来,人们在享受数字时代的各种便利时,也难以摆脱数据风险所带来的各种担忧。虽然互联网的安全性越来越高,但是令人咋舌的信息泄露事件依然持续发生。
数据泄露引发全民关注。上至国家政府,下至公民、企业,都曾陷入数据泄露事件。从金融保险、教育、医疗、科技到政府,数据泄露涉及许多行业。并且,受数据泄露影响的用户范围广泛,类型多样,既有网站注册用户、大学员工、医疗患者,也有艾滋病感染者、警察、孕妇等。
今年以来,数据隐私泄露事件频发,涉及面广,影响力大,企业因此陷入数据保护合规与社会舆情压力的双重危机。小编今天就来盘点一下2021年八大数据隐私泄露案例,整理企业个人信息合规管理的“八项注意”及实务建议。
一、2021年企业数据泄露案例盘点
1、创纪录!8.88 亿美元罚款!亚马逊违反数据隐私法规
北京时间 7 月 30 日晚间,据报道,亚马逊因违反数据隐私法规被欧盟处以创纪录的 8.88 亿美元罚款。
据彭博社报道,亚马逊公司面临欧盟有史以来最大的数据隐私泄露罚款,该主要监督机构对其违反严厉的数据保护法规进行 7.46 亿欧元(约 57.29 亿元人民币, 8.88 亿美元)的处罚。
亚马逊周五在一份监管文件中披露了卢森堡数据保护局 7 月 16 日的决定。该决定称,亚马逊”对个人数据的处理不符合欧盟通用数据保护条例(GDPR)”。
该决定始于 2018 年一家法国隐私权利团体的投诉调查。
亚马逊在一份声明中说:“没有数据泄露,也没有客户数据被暴露给任何第三方。这些事实是无可争议的。我们坚决不同意 CNPD 的裁决。”
自欧盟所谓的《通用数据保护条例》,即 GDPR,于 2018 年 5 月生效以来,欧盟数据保护监管机构的权力大大增加。它首次允许监督机构对一家公司征收高达全球年销售额 4% 的罚款。迄今为止,最大的罚款是法国 CNIL 对谷歌开出的 5000 万欧元(约 3.84 亿元人民币)的罚单。
2、违法采集人脸信息,科勒卫浴多地代理商被罚,行政处罚信息公开
据六安市市场监督管理局和宁国市市场监督管理局官网显示,近日,因违法采集人脸信息,科勒卫浴多地代理商纷纷被处以行政罚款。
宁国市市场监督管理局
3、索赔天价14亿欧元!6.4万荷兰家长状告抖音(TikTok)侵犯儿童隐私
据外媒报道,荷兰数万名家长要求视频应用程序TikTok向他们的子女支付14亿欧元赔偿金。这些家长指责TikTok未经许可收集未成年人的信息,目的是定向向他们展示广告。另外这款应用程序上提供的各种挑战赛鼓励未成年人相互做出一些危险行为,这会让这些未成年人受到伤害。今年4月,英国儿童权益保护机构也提出过类似的指控。
据荷兰市场信息研究基金会(SOMI)提供的信息称,向TikTok求偿的家长数量超过6.4万人。荷兰市场信息研究基金会是一家非盈利组织,致力于保护互联网用户的基本权益。
TikTok抖音公司表示,该公司采取了很多措施保障年轻用户的安全。根据抖音的使用条款,未成年在使用该款应用程序时需要监护人的许可。不满13岁的儿童不可以使用TikTok。抖音TikTok公司还指出,该公司的网页上还为用户提供了信息保护的控制选项。用户可以自行选择“他们认为合适自己的选项”。
今年4月,英国儿童权益保护机构也提出过类似的指控。
据报道称,5月底,欧盟委员会宣布对Tiktok的商业行为进行审查。欧盟委员会5月28日宣布,在欧洲消费者组织BEUC发出关于违反欧盟消费者权利的警告后,已经与Tiktok展开了正式对话。
4、约330万大众奥迪车主和潜在客户信息泄露,含手机号社保账号
近日,大众汽车方面表示,约有330万大众、奥迪汽车的车主和潜在客户的个人信息遭到泄露,具体信息包括:姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。南都记者梳理发现,车企信息泄露事件时有发生。曾有网络安全专家表示,汽车企业应对数据的存储、使用和传输进行更全面管理和控制。
据俄罗斯卫星通讯社援引美国媒体的报道,大众汽车集团日前宣称,330万名客户的数据遭泄露。泄露发生的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商都使用这个供应商的服务。
据报道,泄露的数据包含相关客户和潜在买家的姓名、地址以及电话号码等个人信息。与此同时,还有9万名美国和加拿大的客户“更机密”的数据被泄露,其中包括获得贷款资格的信息以及社会保障号码等。
5、继奥迪后,奔驰用户敏感信息也泄露!
6月11日,一家供应商通知奔驰发生数据泄露事件。奔驰随即展开调查并发布初步结果,称在评估了160万份数据后,发现共计不到1000人的个人信息处于公开可访问状态,受影响的是2014年至2017年期间,在奔驰公司和经销商网站输入敏感信息的客户和潜在购车者。这些信息包括个人申报的信用得分,小部分人的驾驶证号码、社会保险号码、信用卡信息和出生日期。
奔驰表示,目前没有证据表明这些信息被恶意滥用;且公司正在与受影响的个人取得联系,“任何被泄露信用卡信息、驾驶证号码或社会保险号码的个人都将获得24个月的免费信用监控服务。”
奔驰还表示,其将通知有关政府机构,并确保供应商不再发生类似事件,继续调查以使情况得到妥善处理。
南都个人信息保护课题组梳理发现,近年来多家车企曾发生数据泄露事件。
本月中旬,大众汽车方面表示,约有330万大众、奥迪汽车的车主和潜在客户的个人信息遭到泄露,具体信息包括:姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。
2018年7月,有安全研究人员发现加拿大汽车供应商Level one多达157GB的数据泄露,其中甚至包含员工驾驶证和护照扫描件等隐私信息。
曾有网络安全专家表示,许多车企缺乏原生的数据安全手段对数字化转型带来的海量数据资产进行保护。为此,汽车企业应建立行为+数据的新安全体系,注意防范内鬼泄露数据,同时对数据的存储、使用和传输进行全面管理和控制。
6、继TikTok同意支付9200万美元和解美国侵犯隐私集体诉讼后,又遭荷兰处罚
TikTok的被罚不完整统计:
字节跳动在2019年被美国联邦贸易委员会(FTC)罚款570万美元,以了结有关TikTok非法收集未成年人信息的指控。这是FTC在儿童隐私案件中开出的最大罚单。该公司还在寻求许可,以了结美国的另一起隐私诉讼。
2020 年,美国 TikTok 用户共提起了 21 起彼此独立的集体诉讼案,均称 TikTok 渗入用户的设备,提取大量私人数据用于广告推广和获取利润等。Tiktok 则否认了这些指控。据路透社2月26日报道,TikTok 与美国用户就数据隐私问题达成和解,同意支付 9200 万美元(约合人民币 6 亿元)集体诉讼和解金。
2020年7月15日消息,韩国通信委员会(KCC)周三表示,已对短视频平台、抖音海外版TikTok罚款1.86亿韩元(约合15.5万美元),原因是TikTok处理用户数据不当。眼下,TikTok引发的全球隐私担忧正在加剧。KCC称,TikTok在未征得家长同意的情况下收集了14岁以下儿童的数据,违反了当地电信法,并且没有就向海外转移个人数据对用户做出适当通知。KCC表示,TikTok非法收集了6000条14岁以下用户的数据,并且在没有在事先通知的情况下把当地个人数据转移到了美国和新加坡的服务器上。
阿拉伯新闻2020年11月4日消息,土耳其电信监管部门周三对TikTok等公司各处以1000万土耳其里拉(约合126万美元)罚款,原因是这些企业违反该国新的社交媒体法规。据报道,10月1日生效的争议性立法要求用户超过100万的社交媒体平台必须在土耳其指定当地代表,否则将面临巨额罚款、广告禁令和数据限制等惩罚措施。到目前为止,只有俄罗斯社交平台VK遵守了这项法规。新法规定,“继续藐视土耳其法律”的社交媒体巨头将在未来30天内面临高达360万美元的额外罚款,随后在明年1月被禁止发布广告,带宽将被逐步削减直到5月,削减程度最多可达90%。
2021年1月24日,除了Twitter、Facebook、Google和Telegram等平台,TikTok上也发布了大量召集未成年人参与莫斯科市非法集会的视频,俄罗斯联邦通信、信息技术和大众传媒监督局要求其删除相关视频。据该局负责部门的说法,相较于其他平台,TikTok更为积极地开始删除违规视频,不过,该局仍对TikTok提起了行政诉讼。4月6日,塔甘斯基区法院裁定TikTok违反了《俄罗斯联邦行政违法法典》第13.41条第2款(违反依照俄罗斯联邦法律受限的信息获取限制程序),并对其处以260万卢布的行政罚款。
7、宁波杭州湾新区泛海置业等20家房地产公司侵害消费者个人信息案
今年1月,宁波市市场监管局发现宁波杭州湾新区泛海置业有限公司等多家房地产企的售楼处安装有人脸抓拍机、人脸认证机和后台服务器等设备,涉嫌未经消费者同意,擅自采集消费者个人信息。
21世纪经济报道4月曾报道,宁波市市场监督管理局4月25日公布一批行政处罚结果,对宁波杭州湾新区泛海置业有限公司,宁波融创金湾置业有限公司和宁波保利实业投资有限公司三家在售楼处无感抓拍人脸信息的房地产商分别处以25万元罚款。
8、超10家车企被曝安装车内摄像头!隐私问题引发争议,充分告知如何做?
这一段特斯拉车内摄像头拍摄的画面,除了后视镜遮挡存在部分视觉盲区外,前排驾乘人员的动作、姿态都非常清晰。
对该事件,特斯拉回应称,“驾驶室内摄像头目前在北美以外的市场并没有激活。”记者查阅特斯拉的《车主手册》,手册称“该摄像头目前尚未激活,但可能会用于改进软件更新中加入的未来安全功能。”手册并未明确说明该摄像头用途。
安装了车内摄像头的仅仅特斯拉一家吗?记者在上海探访了蔚来、小鹏等多家汽车销售门店,均发现了车内摄像头,小鹏P7的车内摄像头就位于方向盘上方。
记者在蔚来的一家门店,发现了位于后视镜前方的车内摄像头,销售人员称是用来给车主拍照使用的。
蔚来还有一种车内摄像头是加装在后视镜内的,涉及防疲劳和智能驾驶功能,该选装包要另加39000元,防疲劳功能可以设置开启或关闭。关于车内摄像头的数据存储和用途,记者联系蔚来汽车,蔚来汽车未正式回应记者的采访问题。但2018年蔚来工作人员在网上回应隐私问题称“数据脱敏、加密存储”。
据了解,蔚来汽车、小鹏汽车、比亚迪等超过10家汽车公司推出的部分产品均搭载了车内摄像头,通常布置在车内后视镜上方,车企声称多数用于监测驾驶员疲劳状态来进行提示,还有的是用于拍照、打视频电话等其他功能。
企业数据信息安全与防泄密管理注意
1.完善数据安全防护手段
当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。
敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
2.建立可落地的行业性数据安全规范和企业数据安全管理制度
最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。
虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。
这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”
3.提高安全意识,增加对内部数据泄露风险的防护
目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。
调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。
因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。[来源:互联网]