English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
SCA连载罚单之:挪威奥斯陆市教育局63000名学生个人信息泄露事件
文章来源:奥航智讯微信公众号  作者:SCA  发布时间:2019-11-29  浏览次数:47

2019年4月29日,挪威数据保护监管机构对奥斯陆市教育局做出200万挪威克朗(约20.3 万欧元、153万人民币)处罚决定。原因是奥斯陆市教育局开发了一款新的应用程序“ Skolemelding ”(用于父母和老师更轻松地交流孩子们在学校的日常生活)存在严重安全漏洞——因该应用启用前未经过适当的测试,导致63000 名儿童个人信息和通讯记录被泄露。

案件事实概述:

奥斯陆市教育局(UDE)开发的这款新的应用程序“ Skolemelding ”,主要用于父母和老师更轻松地交流孩子们在学校的日常生活。

在2018年秋天被发现,有未经授权的人通过授权用户的身份登录“ Skolemelding ”,从而通过该应用程序访问有关其他学生,监护人和工作人员的个人信息。同时,登录后还可以添加个人的敏感信息。

据调查,已发现的漏洞能导致访问有关奥斯陆学校的63000多名小学生的个人信息。2019年4月,挪威数据保护监管机构对奥斯陆市教育局做出200万挪威克朗20.3 万欧元153万人民币处罚决定。

数据检查员总监BjørnErik Thon说:“在隐私条例中,儿童被定义为弱势群体,因为他们自己无法维护自己的权利和自由,应对其信息进行特殊保护。这是在新的隐私条例生效后,目前我们通知的最高罚款费用。”

违反分析:

挪威奥斯陆市教育局之所以被罚款200万挪威克朗,是因为该市教育局未采取适当措施来达到与风险相适应的安全水平。主要包含以下几个因素:

• 该应用程序的用途之一是让父母编辑发送有关子女的消息或告知缺席。但它有可能会传达有关孩子的敏感个人信息,例如健康信息。且没有防止这种情况发生的技术措施,也没有在应用程序中通知家长不应该传达此类信息。

• 登录该应用程序缺乏安全性,未经授权的人应无法访问和更改奥斯陆小学63,000多名儿童的个人信息。

 发布该应用程序之前,安全测试不足,导致该应用程序受到全球安全环境中众所周知的漏洞的影响。

正如数据保护局所理解的那样,发现的漏洞是身份验证问题,以及允许访问其他人的消息的用户之间缺乏区分。并可以通过收集个人信息将个人与消息联系起来。

合规启示:

早在2018年12月,数据监察局因违反挪威隐私条例(Personal Data Regulations)向卑尔根市发送了一项违规费为160万挪威克朗(约17 万欧元)的决定。该局评估认为,卑尔根市小学使用的计算机系统中的个人数据安全性不够。导致卑尔根市35000多名用户(主要是儿童)的用户名和密码文件被泄露。以学生、员工或学校管理员的身份登录学校的各种信息系统,并因此可以访问其他学生和员工的个人信息。2019年4月29日,挪威数据保护监管机构对奥斯陆市教育局做出200万挪威克朗(约20.3 万欧元或153万人民币)处罚决定,同样是因为学生个人信息泄露问题。

在欧盟成员国内,自2018年5月《通用数据保护条例》(GDPR)实施以后,2019年8月20日,瑞典数据检查局对使用摄像头人脸识别记录学生出勤率的Anderstorps 高中处以200000瑞典克朗(约合2万欧元,15万元人民币)的罚款。这是瑞典数据保护局的第一笔罚款。

综上可知,对待儿童个人信息安全,欧洲国家的监管当局的态度相当严厉。

依据史上最严个人数据保护法《通用数据保护条例》(GDPR) 第32条处理安全的规定,企业应考量现有技术实施成本和处理的性质、范围、背景、目的以及给自然人的权利和自由带来不同可能性和严重程度的风险,数据控制者和数据处理者应当采取适当技术性和组织性措施以保证应对风险的适当安全水平,酌情考虑但不限于以下因素:

(a)个人数据的匿名化和加密;

(b)保证处理系统和服务持续、保密、完整、可用和自我修复的能力;

(c)在发生物理性和技术性故障的情况下及时恢复个人数据的可用性和访问能力;

(d)定期测试、评价和评估处理过程技术性和组织性措施的有效性。

因此,汲取挪威奥斯陆市教育局教训,对于儿童应当给予特殊保护,对儿童个人信息提供更高力度的保护。企业在开发移动应用程序时,应当采取安全保护措施,重视产品的安全性和保密性。在投入使用前,应当进行充分测试,防止重大安全漏洞。同时为保护数据处理安全。SCA通信联盟建议:适当的安全措施还应该包括评估个人数据是否以受保护的形式存储,是否通过加密对数据共享进行安全处理,以及应用程序是否应用了受信任的证书等。合规是企业走向成功的必由之路,相关咨询与培训工作必不可少。

PS:本文由SCA结合相关法律文件及报导整理,转载请注明出处。SCA安全通信联盟始终关注安全通信和身份认证领域,亦在信息安全领域提供中立、专业的GDPR、网络安全等级保护、信息安全技术认证、相关合规的咨询和培训服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。更多GDPR相关内容请点击下方文字链接:

SCA连载系列之| GDPR个人数据处理的6大原则包含哪些内容?

SCA连载系列之| GDPR适用范围有多大?

SCA连载系列之| GDPR“数据处理”、“处理安全”、“加密”分别对应哪些内容?

SCA连载GDPR罚单之 | 英国航空公司数据泄露事件

SCA连载GDPR罚单之| 德国首例GDPR 数据处理案件,为啥罚单是2万欧元?轻罚的依据是什么?

SCA连载GDPR罚单之| 葡萄牙数据监管机构认定Barreiro医院违反GDPR

SCA连载GDPR罚单之| 保加利亚国家税务局(NRA)信息泄露事件

SCA连载罚单之2016年Uber信息泄露案件

SCA连载GDPR罚单之| 加利亚DSK银行被罚事件

SCA连载GDPR罚单 | 瑞典高中人脸识别被罚,为我们敲响了哪些警钟?

SCA思考:“人脸”数据被滥用,谁来负责?

附挪威官网对奥斯陆市教育局的罚款通报链接:https://www.datatilsynet.no/contentassets/f7246f38ff394d32bef6895bc65a4b4f/varsel-om-gebyr---oslo-kommune.pdf


 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 年家浜路526号 周浦万达广场C栋1710室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2019 SC Alliance, All Rights Reserved        沪ICP备14020833号        上海奥航智能科技有限公司