English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
SCA连载罚单之2016年Uber信息泄露案件
文章来源:奥航智讯微信公众号  作者:SCA  发布时间:2019-11-19  浏览次数:800

案件详情

2016年Uber遭网络攻击,黑客获取Uber平台上英国270万名和荷兰17.4万名Uber客户的个人详细信息,其中包括全名、电子邮件地址和电话号码。

在将这一事件隐瞒了一年多之后,Uber于去年11月承认黑客窃取了公司全球范围内5700万用户和司机的隐私数据。该公司还甚至向黑客支付了10万美元,以要求后者删除数据和掩盖漏洞。

2016年10月和11月,“英国信息专员办公室”(The U.K.'s Information Commissioner's Office)宣布对这家拼车公司处以38.5万英镑(约合49万美元)的罚款,原因是该公司“在一次网络攻击中未能有效保护客户个人信息”。

2018年11月29日,“荷兰数据保护局”(The Dutch Data Protection Authority)因其违反数据泄露报告义务,对Uber BV和Uber Technologies,Inc.(UTI)处以60万欧元(约合66万美元)的罚款。原因是,2016年Uber发生了数据泄露事件,导致未经授权的人员可以访问客户和驾驶员的个人数据。且Uber没有在发现泄漏的72小时内通知荷兰数据保护局和涉案人员。

PS:荷兰数据泄露报告义务

数据泄露报告义务意味着组织(公司和政府)在严重数据泄露时必须立即向荷兰数据保护局(AP)报告。有时,他们还必须向相关人员(被泄露个人数据的人)报告数据泄露情况。

影响评价

此次信息泄露事件导致全球有超过5700万Uber用户受到此数据泄露的影响,其中包括约17.4万荷兰人和英国270万名Uber用户。涉及到的个人数据包括,例如客户和驾驶员的姓名,电子邮件地址和电话号码。

“英国信息专员办公室”调查总监史蒂夫-埃克斯利(Steve Eckersley)表示:“这不仅是Uber方面数据安全的严重失败,也是对个人信息被盗的客户和司机的完全无视。当时,Uber没有采取任何措施通知受影响的用户,也没有提供帮助和支持,这也让他们变得更加容易受到攻击。”

该办公室还表示,此次网络攻击使客户和司机面临更大的欺诈风险,这是对英国1998年《数据保护法》的严重违反。荷兰监管机构则表示,对Uber处以罚款是因为它没有在该国规定的72小时期限内报告自己的违规行为。

合规启示

由于网络攻击发生在2016年,因此此案不受2018年5月生效的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)约束。如果在这一新规下,Uber可能面临更加严重的罚款,罚款最高可达其全球年营收的4%,或者2000万欧元(以数额较大的为准)。

2018年9月Uber同意支付1.48亿美元,与美国的50个州和华盛顿特区达成了和解,了结自己2016年在美国各地同数据泄露相关的索赔。也许这对于市值约600多亿美元的Uber来说,有经济实力来解决。但是对于小众公司,巨额的罚款很可能导致企业直接破产倒闭。最近一份由美国国家网络安全联盟 (NCSA) 委托 Zogby Analytics 执行的聚焦中小企业所遭网络犯罪影响的调查研究揭示,2019 年遭遇网络攻击的小公司中有 69% 的小公司暂时被迫下线,37% 遭受财务损失,10% 被迫关门歇业。

2018年5月GDPR实施以来,各国都在明显加大对信息泄露事件的处罚力度。2018 年美国加州通过消费者隐私法案(CCPA),缓冲一年多后,将于 明年 1 月生效。据分析,CCPA 的处罚比 GDPR 要严厉得多。即使是无意中发生了泄露,CCPA 规定每位用户 100 到 750 美元,或者以泄露造成的实际损失计算罚款。因此对于一些公司而言,很可能罚款会使其直接破产。

由此可见

1、发生数据泄露事件后在规定的时间内向有关监管部门报告是必要的行为。在荷兰对Uber的处罚案中,因其信息泄露后没有在72小时内向有关监管部门报告被罚,在GDPR中也有这样的规定。并且企业应该采取积极止损的方式,与监管机构保持良好密切的沟通,有助于将影响和损失控制在尽可能小的范围内。

2、对出海企业而言,在不同的市场区域要遵守不同国家的法律。比如,自2018年GDPR生效后,就在欧盟成员国中普遍适用。而在美国,每个州都有其立法权,美国加州即将于明月1月实行其消费者隐私法案(CCPA)。因此,企业要针对自己的产品去向做好相应的安全防范工作。

3、组织人员参加必要的安全培训很有必要。培训可以帮助企业在学习相关法律法规的同时,教会企业员工如何做好防御的准备。

本文由SCA结合相关法律文件整理,转载请注明出处。SCA安全通信联盟始终关注安全通信和身份认证领域,亦在信息安全领域提供中立、专业的GDPR、网络安全等级保护、信息安全技术认证、相关合规的咨询和培训服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。更多GDPR相关内容请点击下方文字链接:

SCA连载系列之| GDPR个人数据处理的6大原则包含哪些内容?

SCA连载系列之| GDPR适用范围有多大?

SCA连载系列之| GDPR“数据处理”、“处理安全”、“加密”分别对应哪些内容?

SCA连载GDPR罚单之 | 英国航空公司数据泄露事件

SCA连载GDPR罚单之| 德国首例GDPR 数据处理案件,为啥罚单是2万欧元?轻罚的依据是什么?

SCA连载GDPR罚单之| 葡萄牙数据监管机构认定Barreiro医院违反GDPR

SCA连载GDPR罚单之| 加利亚DSK银行被罚事件

SCA连载GDPR罚单之| 保加利亚国家税务局(NRA)信息泄露事件

 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2025 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司