数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元

Original 梦溪拾笔数字治理全球洞察 2022-08-27

收录于合集

【按语】法国数据保护机关CNIL对于生物公司的高额罚款及其裁决，有助于理解GDPR框架下欧洲监管机关对于数据安全的具体要求以及数据泄露事件处置的核心规则。——吴沈括，北京师范大学互联网发展研究院院长助理、博导、中国互联网协会研究中心副主任。

编译|
北京师范大学 张冰果

健康数据泄露: 迪达勒斯生物公司（Dedalus Biologie）被罚款150万欧元

背景资料

最终裁决日期:2022年4月15日跨国案件或国家案件:国家案件控制者:迪达勒斯生物法律参考:在控制者或处理者授权下进行处理(《通过数据保护条例》第29条)、处理安全(《通用数据保护条例》第32条)、处理者(《通用数据保护条例》第28条)决定:行政罚款关键词:健康数据泄露

决定摘要

案例起源

2021年2月23日，媒体披露了一项关于迪达勒斯生物公司（Dedalus Biologie）涉及到近50万人的大规模数据泄露事件。这些人的姓名、社会保险号、开处方医生的姓名、检查日期，以及最重要的所有医疗信息(艾滋病毒、癌症、遗传疾病、怀孕、病人的药物治疗或遗传数据)都因此被公布在互联网上。

主要发现

法国数据保护机关（CNIL）进行了几次现场的和在线的调查，特别是对为医疗分析实验室出售软件解决方案的迪达勒斯生物公司的调查。根据调查期间收集的信息，主管委员会(负责发布制裁的法国监管机构国家信息与自由委员会CNIL)确定了三项违规行为：首先，在两个使用迪达勒斯生物公司服务的实验室要求将一个软件包移植到另一个工具的情况下，迪达勒斯生物公司提取的数据量超过了要求。因此，该公司处理的数据超出了数据控制者给出的指令，未能遵守《通用数据保护条例》的第29条。第二，该公司没有确保《通用数据保护条例》第32条含义范围内的个人数据安全。在软件迁移到另一个软件的情况下，迪达勒斯生物公司被发现在安全方面存在许多技术和组织漏洞:缺乏数据迁移操作的具体程序；存储在有问题的服务器上的个人数据缺乏加密；迁移到其他软件后，数据不会自动删除；访问服务器的公共区域不需要来自互联网的认证；在服务器的私有区域使用由几个员工共享的用户帐户；缺少监控和报告服务器安全警报的程序。缺乏令人满意的安全措施是导致近500000人的医疗和管理数据泄露的原因之一。最后，法国数据保护机关还确定，迪达勒斯生物公司提出的一般销售条件和转交给法国监管机构国家信息与自由委员会的维修合同不包含《通用数据保护条例》第28条第(3)款规定的内容。