網(wǎng)安的輿論漩渦的中心依舊是數(shù)據(jù)安全,這一點從近期種種合規(guī)行動中可見一斑。其中,出行行業(yè)由于其涉及龐大的用戶數(shù)據(jù)、地圖數(shù)據(jù),成為數(shù)據(jù)安全的又一焦點聚集地。
回到今天的主角,Uber。由于一件數(shù)據(jù)泄露“陳年舊案”,Uber第四次遭到了安全控告。
出行行業(yè)再陷風波,Uber被控違反隱私法
7月23日,澳大利亞信息專員辦公室(AustralianInformationCommissioner,OAIC)發(fā)布了一份關(guān)于其對Uber2016年極具爭議的違規(guī)事件的調(diào)查報告,確認Uber侵犯了超百萬澳大利亞人的隱私。
2016年,有黑客成功入侵Uber數(shù)據(jù)庫并竊取5700萬全球用戶和司機的數(shù)據(jù)。泄露的數(shù)據(jù)包括Uber客戶的姓名、電子郵件地址和電話號碼,以及700萬司機的個人信息和60萬個駕照號碼。
然而,Uber并未第一時間通知那些數(shù)據(jù)泄露的受害者,反而支付價值10萬美元的比特幣給黑客作為“封口費”。
2017年底,該數(shù)據(jù)泄露事件才被曝光。
同年12月,Uber向OAIC報告該事件。
針對上述事件,OAIC表示,Uber的違規(guī)行為包括:沒有采取合理措施保護個人信息免受未經(jīng)授權(quán)的訪問,也未刪除或去識別化那些不再需要的基于特定目的的個人信息。不過,由于暫時沒有受害人對Uber此次數(shù)據(jù)泄露事件進行投訴,因此無權(quán)要求Uber進行罰款賠償。
雖然暫不需要針對受害用戶進行賠償,但是Uber還是被要求建立一項信息安全計劃,并設(shè)專人負責。該計劃需有能力識別澳大利亞用戶信息面臨的安全性、完整性風險,比如信息丟失、被未經(jīng)授權(quán)訪問等。它還要求對員工進行培訓(xùn)。
Uber對此在一份聲明中說:表示它們已經(jīng)進行了技術(shù)更新,包括為其核心乘車業(yè)務(wù)信息系統(tǒng)獲得ISO27001認證,以及更新了其內(nèi)部安全政策,并將與第三方評估機構(gòu)合作,實施進一步的改變。
"對2016年數(shù)據(jù)事件的這一決議。我們將從錯誤中學習,并重申我們的承諾,繼續(xù)贏得用戶的信任"。
數(shù)據(jù)流動引起多方面制裁
值得關(guān)注的是,Uber早在2018年就因該事件受到了來自美國、英國和荷蘭的處罰。
在美國,Uber與50個州和哥倫比亞特區(qū)的總檢察長達成了1.48億美元的和解,并且承諾之后的數(shù)據(jù)處理將更加透明。
在英國,Uber被罰款385,000英鎊(約529,000美元)。并且,荷蘭的數(shù)據(jù)保護機構(gòu)也對Uber罰款60萬歐元(約70.7萬美元),因為它沒有在72小時內(nèi)對此事件進行報告。
Uber“四處受罰”的原因是由于其全球性的結(jié)構(gòu)。在不同的當?shù)胤上拢渌|犯的法規(guī)、所遭受的處罰也不相同。
因此,在OAIC控告其違反澳大利亞《隱私法》時,Uber曾辯稱,它并不受該法的約束,因為它已將澳大利亞人的個人信息轉(zhuǎn)移到美國。
然而,現(xiàn)公布的報告讓Uber認清了澳大利亞《隱私法》要求:當澳大利亞人向一家公司提供個人信息時,他們會受到《隱私法》的保護,即使這些信息在公司集團內(nèi)被轉(zhuǎn)移到海外。
Uber在美國遭受處罰
如今,數(shù)據(jù)已經(jīng)成為全球最為關(guān)注的技術(shù)相關(guān)要素之一,其重要性也在個人、企業(yè)、政府等各方面所體現(xiàn)。我們享受數(shù)據(jù)帶來的便利太久,卻還未對其背后的安全風險有足夠的重視。即便《數(shù)據(jù)安全法》將于今年9月開始施行,不少企業(yè)對于數(shù)據(jù)安全的概念仍舊停留在如何通過審查,而不是如何保護數(shù)據(jù)。更何況,光有企業(yè)的努力是遠遠不夠的,個人的數(shù)據(jù)安全意識也有待提升。
此外,出海企業(yè)擁有特殊的全球性結(jié)構(gòu),其數(shù)據(jù)流動需根據(jù)其流動范圍,基于當?shù)氐臄?shù)據(jù)相關(guān)法律并采取相關(guān)措施,確保出海數(shù)據(jù)的安全能夠得到保障。避免像Uber一樣,面臨多地的處罰。
