網安的輿論漩渦的中心依舊是數據安全,這一點從近期種種合規行動中可見一斑。其中,出行行業由于其涉及龐大的用戶數據、地圖數據,成為數據安全的又一焦點聚集地。
回到今天的主主角,Uber。由于一件數據泄露“陳年舊案”,Uber第四次遭到了安全控告。
出行行業再陷風波,Uber被控違反隱私法
7月23日,澳大利亞信息專員辦公室(Australian Information Commissioner,OAIC)發布了一份關于其對Uber 2016年極具爭議的違規事件的調查報告,確認Uber侵犯了超百萬澳大利亞人的隱私。
2016年,有黑客成功入侵Uber數據庫并竊取5700萬全球用戶和司機的數據。泄露的數據包括Uber客戶的姓名、電子郵件地址和電話號碼,以及 700 萬司機的個人信息和 60 萬個駕照號碼。
然而,Uber并未第一時間通知那些數據泄露的受害者,反而支付價值10萬美元的比特幣給黑客作為“封口費”。
2017年底,該數據泄露事件才被曝光。
同年12月,Uber向OAIC報告該事件。
針對上述事件,OAIC表示,Uber的違規行為包括:沒有采取合理措施保護個人信息免受未經授權的訪問,也未刪除或去識別化那些不再需要的基于特定目的的個人信息。不過,由于暫時沒有受害人對Uber此次數據泄露事件進行投訴,因此無權要求Uber進行罰款賠償。
雖然暫不需要針對受害用戶進行賠償,但是Uber還是被要求建立一項信息安全計劃,并設專人負責。該計劃需有能力識別澳大利亞用戶信息面臨的安全性、完整性風險,比如信息丟失、被未經授權訪問等。它還要求對員工進行培訓。
Uber對此在一份聲明中說:表示它們已經進行了技術更新,包括為其核心乘車業務信息系統獲得ISO 27001認證,以及更新了其內部安全政策,并將與第三方評估機構合作,實施進一步的改變。
“對2016年數據事件的這一決議。我們將從錯誤中學習,并重申我們的承諾,繼續贏得用戶的信任”。
數據流動引起多方面制裁
值得關注的是,Uber早在2018年就因該事件受到了來自美國、英國和荷蘭的處罰。
在美國,Uber與50個州和哥倫比亞特區的總檢察長達成了1.48億美元的和解,并且承諾之后的數據處理將更加透明。
在英國,Uber被罰款385,000英鎊(約529,000美元)。并且,荷蘭的數據保護機構也對Uber罰款60萬歐元(約70.7萬美元),因為它沒有在72小時內對此事件進行報告。
Uber“四處受罰”的原因是由于其全球性的結構。在不同的當地法律下,其所觸犯的法規、所遭受的處罰也不相同。
因此,在OAIC控告其違反澳大利亞《隱私法》時,Uber曾辯稱,它并不受該法的約束,因為它已將澳大利亞人的個人信息轉移到美國。
然而,現公布的報告讓Uber認清了澳大利亞《隱私法》要求:當澳大利亞人向一家公司提供個人信息時,他們會受到《隱私法》的保護,即使這些信息在公司集團內被轉移到海外。
Uber在美國遭受處罰
如今,數據已經成為全球最為關注的技術相關要素之一,其重要性也在個人、企業、政府等各方面所體現。我們享受數據帶來的便利太久,卻還未對其背后的安全風險有足夠的重視。即便《數據安全法》將于今年9月開始施行,不少企業對于數據安全的概念仍舊停留在如何通過審查,而不是如何保護數據。更何況,光有企業的努力是遠遠不夠的,個人的數據安全意識也有待提升。
此外,出海企業擁有特殊的全球性結構,其數據流動需根據其流動范圍,基于當地的數據相關法律并采取相關措施,確保出海數據的安全能夠得到保障。避免像Uber一樣,面臨多地的處罰。
