挪威数据保护机构Datatilsynet已下令挪威体育联合会(Norwegian Sports Confederation)向挪威奥委会支付125万挪威克朗（约合15.1万美元，12.4万欧元），此前约有320万挪威人的个人信息在网上公开了87天。

数据暴露源于该组织在将其数据库从物理服务器转移到云系统进行测试时出现了一个错误，导致了数据泄露。

该国国家网络安全中心随后通知该联盟，个人信息可在一个公共 IP 地址获得。该组织于 2019 年 12 月向 DPA 提交了事件报告。

暴露的数据包括姓名、性别、出生日期、地址、电话号码、电子邮件地址和俱乐部成员信息。受影响的320万人中，有486447人是3岁至17岁的儿童。

报告总结称，这些行为违反了法律数据最小化和保密的原则。

当局表示，没有任何信息表明未经授权的人利用了这个错误。

但当局还认为，没有必要用大量此类数据进行测试，该系统的试验可以采用侵入性较低的方式进行。

DPA主任比约恩·埃里克·通（Bjorn Erik Thon）说:“在新解决方案投入生产之前进行彻底的测试是非常重要的。”例如，测试可以揭示解决方案中的错误或安全漏洞。因此，与测试相关的风险很大，尤其是在测试中使用人们的个人信息时。我们明确的建议是使用虚假数据，因为这样可以显著降低风险。

Datatilsynet最初提出的侵权费是250万挪威克朗，但根据收到的有关该联盟组织性质和财务状况的信息，决定将其减半至125万挪威克朗。（本文出自SCA安全通信联盟，转载请注明出处。）