首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
百度
2
今日热点
3
微信公众平台
4
贴吧
5
opgg
6
dnf私服
7
百度贴吧
8
知乎
9
dnf公益服
10
百度傻逼
分类
社会
娱乐
国际
人权
科技
经济
其它
大摩宏观策略谈:2025中美变局展望
假设,你遇到麦琳怎么办?
2024年心理咨询师报名通道开启!可考心理证书,无需辞职,名额有限,11月30日截止报名!!!
穿了跟没穿一样,胸型赞到爆!天然乳胶,性感到让男人腿软!
高三女生醉酒后被强奸致死?检方回应
生成图片,分享到微信朋友圈
查看原文
其他
GDPR案例简评:电商平台未采取足够保护措施,波兰数据保护机构开出高额罚单
Original
孟洁律师团队
M姐 数据合规评论
2020-03-20
2019年9月10日,波兰数据保护机构UODO对遭受网络攻击的电商平台Morele.net处以280万波兰兹罗提(约500万人民币)的罚款。这是自GDPR生效以来,UODO作出的第三笔也是罚金最高的一笔处罚。
事件背景
此次事件中,针对Morele.net的网络攻击发生于2018年11月和12月,攻击导致约220万人的数据落入他人手中,泄露的数据包括姓名、电话号码、电子邮件、邮寄地址。值得注意的是,本案中约35000人的分期付款申请书遭到泄露,然而申请书上涵盖申请人的极为隐秘和重要的数据,包括申请人的身份证号码、其他身份证明文件、教育背景、注册地址、联络地址、收入来源、净收入额、生活开支、婚姻状况和信用承诺等。
UODO认为,Morele.net未能采取充足的组织性和技术性保护措施,导致黑客成功入侵其系统获取了近220万人的数据,违反了GDPR第5条第(1)(f)项所规定的保密原则。
UODO
认为Morele.net
采取安全措施存在以下两项漏洞:
1.
Morele.net
未能采取有效的数据访问身份验证措施。
在验证身份Morele.net采用的是易诱发数据泄露的单因子身份验证,没有遵循欧盟网络安全职能部门ENISA等机构推荐采纳的双因子安全验证措施。
2.
Morele.net
针对数据处理过程中发生的非正常网络活动未能有效监控并预警潜在的威胁。
该网站可以采取的方法包括引入入侵检测系统来警示可疑活动。
在衡量罚金的金额时,一方面考虑到受影响数据主体人数高达220万,另一方面认识到公司为停止侵权所采取的措施、良好的配合态度且该公司之前未有触犯个人数据保护法的先例,UODO最终给出较为缓和的280万波兰兹罗提的罚金。
不充足的安全保护措施将会招致更多的罚款
UODO认为,考虑到泄露的信息的类型之特殊和受影响的群体之大,本事件属于严重的数据泄露事件,对于数据主体的个人数据落入他人之手的情况而言,对数据主体产生了高危的负面影响,他人很可能利用非法获取的数据从事身份盗窃或开具假发票等活动。
Morele.net发布声明称不接受UODO的处罚并已决定上诉,公司代表律师认为UODO对Morele.net处罚过于高昂,UODO的第一笔处罚案例仅对涉事公司处以94万波兰兹罗提的罚款,仅为本案件罚款的三分之一左右。
纵向来看,
此次事件的罚金反映了欧洲监管机构普遍存在的增大罚金力度的趋势,特别是针对数据安全事件的处罚
;但横向来看,
UODO对Morele.net处以的罚金
相较于其他欧盟国家数据监管机构的罚金并不高
(例如UK的ICO今年7月对英国航空因数据泄露处以1.84亿英镑的罚金)。不管罚金如何,这起案件对于采取类似业务模式的互联网公司敲响了警钟,警示各网站须采取足够的安全保护措施(比如定期扫描漏洞、进行渗透性测试、攻防演练等)预防网络被攻击,保护好用户的个人数据的安全。
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存