英国信息专员办公室(ICO)对变性慈善机构“美人鱼”处以2.5万英镑(约合3.46万美元,2.92万欧元)的罚款,原因是该机构未能保护用户的个人数据。
ICO的调查主管史蒂夫·埃克斯利(Steve Eckersley)表示:“美人鱼工作的性质本应迫使该慈善机构实施严格的保障措施,保护其工作伙伴中那些通常容易受到伤害的人。”
“但它未能这样做,以至于使它试图帮助的人遭受潜在的损害和痛苦,以及可能的偏见、骚扰或虐待。”
“作为一家成熟的慈善机构,美人鱼应该知道保护个人数据的重要性,虽然我们承认慈善机构承担的重要工作,但它们不能不受法律的约束。”
数据保护局的调查是在收到该慈善机构关于其运营至 2017 年 7 月的内部电子邮件组的数据泄露报告后开始的。两年后,慈善机构才意识到这一违规事件。
ICO发现,该组织创建时的设置不够安全,导致近三年的时间里,大约780页的机密电子邮件在网上可见。
这导致550人的个人信息,如姓名和电子邮件地址,在网上被搜索。24个人的信息是敏感的,因为它揭示了这个人是如何应对和感受的,另外15个人的信息是特殊类别的数据,因为他们的心理、身体健康状况和性取向都暴露了。调查发现,美人鱼公司本应对其电子邮件组实施限制访问,并应该考虑采用假名或加密技术,为所持的个人数据增加一层额外的保护。
ICO称美人鱼在数据保护方面态度疏忽大意,政策不完善,工作人员缺乏培训。
“考虑到英国GDPR的实施以及围绕性别身份的广泛讨论,慈善机构应该重新审视其政策和程序,以确保采取适当措施来保护人们的隐私权,”该机构补充道。
但ICO也指出,美人鱼自意识到安全失误以来,对其数据保护做法进行了重大改进。
对此,该慈善机构的受托人主席贝琳达·贝尔(Belinda Bell)表示:“我们对这起数据泄露事件承担全部责任,并感谢我们的支持者在这一困难时刻的团结和理解……”
“我们的服务用户的安全是最重要的,我们完全接受几年前我们犯了一个重大的错误,我们决心确保美人鱼继续尽最大努力履行其关于安全数据管理的义务。”
她还表示,慈善机构非常感谢ICO平衡了罚款数额与继续支持服务用户和保护慈善捐款的需要。
贝尔补充说,今年已经完成了一项全面的保护性审计,所有来自受影响数据主体的投诉都已得到解决。(本文出自SCA安全通信联盟,转载请注明出处。)