数据安全 | 美国知名零售商泄露用户信息被罚50万美元
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:FTC;美国;用户信息;数据安全
本文约1395字,大概需要阅读3分钟。
2022年6月24日,美国联邦贸易委员会(The Federal Trade Commission,下称FTC)在其官方网站上发布消息指,FTC最终作出了针对 CafePress的一项命令 ,指控其未能保护包括社会安全号码在内的消费者敏感个人数据并掩盖重大数据泄露事件,要求该公司加强其数据安全,并要求向受害者支付 50 万美元。
在2022 年 3 月首次公布的诉状中,FTC针对 CafePress 的前所有者 Residual Pumpkin Entity, LLC 和于 2020 年收购了 CafePress 的 PlanetArt, LLC 提起诉讼,称该在线定制商品平台未能实施合理的安全措施保护存储在其网络上的买家和卖家的敏感信息,未能充分应对多个安全漏洞。FTC 指控 CafePress:
以清晰易读的文本存储社会安全号码和密码重置答案;
保留数据的时间超过了必要的时间;
未能针对众所周知的威胁应用现成的保护措施并未能充分应对安全事件;和
掩盖了由于其劣质安全实践而导致的重大数据泄露。
根据委员会最终确定的命令,Residual Pumpkin 和 PlanetArt 必须实施全面的信息安全计划,除此之外还要求他们:
用多因素身份验证方法替换不充分的身份验证措施;
尽量减少他们收集和保留的数据量:
加密社会安全号码;和
让第三方评估他们的信息安全计划,并向委员会提供适合公开披露的评估副本。
此外,Residual Pumpkin 必须支付 500,000 美元,用于为数据泄露的受害者提供补救。PlanetArt 将被要求通知其个人信息因数据泄露而被访问的消费者,并提供有关消费者如何保护自己的具体信息。
据了解,一名黑客在 2019 年 2 月利用该公司的安全漏洞,以弱加密方式访问了数百万个电子邮件地址和密码;数百万个未加密的姓名、物理地址以及安全问题和答案;超过 180,000 个未加密的社会安全号码;以及数以万计的部分支付卡号和到期日期。后来发现其中一些信息在暗网上出售。
在被告知其存在安全漏洞并且黑客已获取消费者数据后,CafePress 修复了该漏洞,虽然还有额外的警告,但CafePress在几个月内未能正确调查该漏洞。其中包括 2019 年 4 月来自外国政府的警告,通知CafePress 黑客非法获取了 CafePress 客户账户信息,并敦促CafePress 通知受影响的客户。然而,CafePress 隐瞒了这些重要信息,而只是告诉客户重置密码,作为其密码政策更新的一部分。
CafePress 直到 2019 年 9 月才通知受影响的客户——在违规行为被广泛报道一个月后。CafePress 松懈的安全措施仍然让许多消费者面临风险。例如,CafePress 继续允许人们通过回答与客户电子邮件地址相关的安全问题来重置他们的网站密码——这些信息与之前被黑客窃取的信息相同。
CafePress 在 2019 年数据泄露之前就意识到其数据安全存在问题。至少到 2018 年 1 月,当 CafePress 确定店主的某些账户被黑客入侵时,CafePress 关闭了这些账户并向受害者收取了 25 美元的账户关闭费。在 2019 年黑客攻击之前,CafePress 的网络还经历了几次恶意软件感染,但CafePress 未能调查此类攻击的来源。
除了安全漏洞之外,FTC 还指控CafePress 通过使用消费者电子邮件地址进行营销来误导用户,尽管它承诺此类信息只会用于履行消费者所下的订单。
公开资料显示,CafePress是美国一家知名定制商品零售公司,截至2011年3月,CafePress拥有超过1300万会员,其网站上有超过3.25亿种产品。2020年9月,CafePress 被PlanetArt收购。
文章来源:Federal Trade Commission官网
https://www.ftc.gov/news-events/news/press-releases/2022/06/ftc-finalizes-action-against-cafepress-covering-data-breach-lax-security-0
https://www.ftc.gov/news-events/news/press-releases/2022/03/ftc-takes-action-against-cafepress-data-breach-cover
本文非全文翻译,内容有删改。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
执业证号:
14401200810597414
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
往期回顾
数据安全
数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
数据安全 | 网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜
数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼
《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?
四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
涉外法律
涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案
涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响
案例分析
案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!
案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?
案例分享 | 大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定
案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回
立法动态
新法速递 |《上海市数据条例》公布 自2022年1月1日起施行
新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)
立法动态 | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见
新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!
立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
立法动态 | 上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告
立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》
立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布
全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容
新闻速递
新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为
新闻速递 | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)
新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地
新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定
新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!
新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内
新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解
新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议
行业政策 | 2021年6月中国各省区块链与数字人民币政策速览
简评 | 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报
其他文章
“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国
实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则
年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录
点一下在看再走吧