2019年7月25日，法国数据保护监管机构CNIL对Active Assurances因违反GDPR第32条对数据处理的安全义务而判处18万欧元罚款，约占该公司年营业额的2%。这是CNIL在过去两年中对违反数据保护义务所做出的第四笔严重处罚。

Active Assurances是法国一家汽车保险公司，为了业务的需要开办了网站www.activeassurances.fr 方便客户登入访问其信息。2018年6月，一位消费者向CNIL举报称能够通过其个人账户访问到公司其他客户的数据。法国网络安全局在同月通知CNIL，称外部人员可以通过duckduckgo浏览器所提供的超级链接访问到该公司的客户数据，包括客户的账户信息、驾驶证、汽车登记卡和银行对账单等文件副本。之于上述信息，CNIL对Active Assurance发出警告，称其违反了数据的安全处理义务，并责令对上述漏洞作出补救。

CNIL在Active Assurances报告整改完毕后所进行的现场调查中发现，该公司所采取的措施不足以阻止搜索引擎提供访问客户数据的链接。此外，客户的账户密码为公司设定的默认密码，与客户的生日相对应。客户在创建账户后收到的公司邮件正文部分清晰展示了账户名称及密码，而未采取任何加密措施。

在结束调查后，CNIL于2019年7月25日表示，Active Assurances未能采取适当的组织和技术措施来保护客户的数据，从而违反了GDPR第32的数据处理的安全义务，主要体现在以下三个方面：

一，公司未能对客户的个人数据实施访问控制，验证访问者的身份；

二，公司未能采取如Robots协议的方式阻止搜索引擎抓取网站上的客户账户信息，对外提供访问链接；

三，公司未要求客户设定保密性强的密码，且不应在向客户发送的邮件中清晰地展示账户和默认初始密码。

CNIL表示，考虑到泄露数据的种类和有关文件的性质、以及计算罚款时受影响的人数，对Active Assurances作出18万欧元的处罚。

这是CNIL继今年6月对SERGIC因违反GDPR第32条处罚40万欧元后，第二笔针对组织违反个人数据处理安全保障义务所作出的处罚。

值得注意的是，CNIL在现场调查后直接对Active Assurances判处了罚款，而不像往常那样先发出处罚警告责令在限定期限内改正。就目前来看，这种做法虽然相对以往的处罚而言并不常见，但已在今年SERGIC案中得到运用，可以预见将成为CNIL未来频繁使用的执法方式。

此外，在进行数据安全案件的调查时，各个监管机构的合作性越来越强。例如在此案中CNIL收到的举报来源不仅包括消费者，还包括法国网络安全局ANSSI的通知。不同部门之间通力合作意味着未来对于违反GDPR的组织的执法和调查将更加全面和深入。