来源:北京商报
原标题:个人信息难保护瑞典保险巨头也中招
自Facebook“数据门”事件之后,隐私保护一直是全球的热点话题。在这一背景下,全球各国对于个人信息保护的重视程度与日俱增,但即便有前车之鉴,用户信息泄露的事件依然层出不穷,尤其是靠数据为生的互联网领域。
当地时间11月3日,瑞典最大的保险公司Folksam在新闻稿中证实,近100万客户的个人信息已泄露给Facebook和Google等社交媒体。对此,Folksam表示歉意,并已要求公司删除该信息。
在一次内部审计中,Folksam发现与数字合作伙伴共享了大约100万人的个人数据,其中一些被认为是敏感的。Folksam已要求合作伙伴公司删除该信息。
“我们知道这会引起客户的关注,我们认真对待发生的事情。我们已立即停止共享个人信息,并要求将其删除。”Folksam营销和销售主管表示,“我们这样做的目的是分析并为客户提供定制的报价,但是不幸的是,我们没有以正确的方式做到这一点。”
Folksam分享了可能被视为敏感的个人数据,例如,某人购买了工会保险或怀孕保险,以及特别值得保护的个人数据——个人社会保险号。Folksam已要求已收到个人信息的合作伙伴将其删除。当前,没有信息表明该信息已被第三方以任何不当方式使用。
据了解,从Folksam接收个人数据的公司有Facebook、Google、Microsoft、Linkedin和Adobe。
这距离酒店集团万豪因泄露用户数据被罚刚过去了5天。
上周五,英国信息专员办公室(ICO)宣布对万豪处以1840万英镑(约合人民币1.6亿元)罚款。本次被罚的事件起因是万豪旗下喜达屋酒店于两年前泄露了3.39亿客人个人信息。泄露的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址等。
2019年,ICO曾对万豪发出金额高达9920万英镑的罚款意向通知,后来其综合考虑了万豪在该事件中积极的应对措施、疫情对其业务的经济影响等多重因素,最终决定对其处以1840万英镑的罚款。
根据ICO的说法,这一数据泄露影响了3000万名欧洲居民,其中包括700万名英国居民。ICO认为,万豪在2016年收购喜达屋时没有进行充分的尽职调查,也没有采取必要措施确保其系统安全。“个人信息很珍贵,企业必须加以照顾。企业之所以需要严格保护客户数据,除了面临罚款惩罚之外,它们有义务保护数据。”
在个人信息保护力度欠缺方面,Folksam和万豪并非个例。虽然在“数据门”之后,Facebook领了高达50亿美元的天价罚单,但并没有阻止隐私泄露事件的频繁发生。
事实上,拥有大量高质量用户数据的大型酒店集团、航空公司一直被黑客觊觎。
就在今年10月,英国航空公司因2018年数据泄露事件,也被ICO罚款了2000万英镑,理由是其“未能保护其40万以上客户的个人和财务详细信息”,这也是ICO迄今为止开出的最大罚单,不过和万豪一样,考虑到疫情对企业的影响,ICO的罚款金额比最初提出的1.83亿英镑要少得多。
在更早之前的今年3月,ICO还对国泰航空的安全漏洞进行了罚款,国泰航空在2018年公布遭遇黑客入侵,影响到全球940万人的数据。
在层出不穷的隐私泄露事件之后,全球各国监管部门也开始行动起来,除了事后的罚款以外,也在事前的预防过程中下了不少功夫。早在2018年5月,欧盟就正式颁布了《通用数据保护条例》,简称GDPR。
GDPR推出后,就被外界称为史上最严苛的数据保护条例。因为这项条例不仅赋予欧盟公民更多的个人数据控制权,另外对那些收集、处理和存储个人数据的公司提出更高的责任要求,特别是数据泄露。其中,最受瞩目的是,GDPR为违反行为划设了一条天价红线:行政罚款上限为上财年全球营收的4%或2000万欧元中取高者。
自GDPR生效以来,2018年5月-2019年11月,欧盟监管机构作出了785次罚款决定,包括法国监管机构对谷歌裁定的5000万欧元罚款。
即便如此,在实施两年多以来,这一法规仍然面临着不小的困境。非营利组织AccessNow在今年发布的GDPR评估报告中指出,GDPR的执行正面临资金困境。
一是整体预算不足。伴随GDPR生效实施,欧盟各成员国数据保护部门工作量激增。然而,自2019年以来,政府职能部门工作人员数量并未同步增长,资金分配捉襟见肘。国际互联网巨头欧盟总部所在地爱尔兰的数据部门获得的财政资金仅为所需资金的1/3左右。
二是地区差异明显。包括德国、西班牙、法国在内的大多数成员国投入的资金与需求相比显著不足。英国监管部门投入的资金是意大利的2倍、法国的3倍,东欧地区比重更低。
资金匮乏导致监管部门无力审查所有的投诉、举报,在与跨国巨头漫长的司法诉讼中也无以为继,常需通过和解以降低诉讼成本。这为跨国公司规避GDPR提供了潜在可能。
北京商报综合报道