APUS研究院:資料洩露&使用者追蹤?資料保護機構究竟關心什麼
來源丨APUS研究院
GDPR正式實施後,愛爾蘭的資料保護監管機構就資料保護問題對多個網際網路大廠展開了調查。近期,針對Facebook、Twitter的調查佔據了全球各大媒體頭條。下面小編就帶領大家分析這兩個備受矚目的資料保護熱點事件。
Facebook 使用者資料洩露
9月末,Facebook首次向公眾披露公司的系統遭到黑客襲擊。事件經過是公司內部的工程師團隊在9月14日發現產品中的三項安全漏洞遭到黑客攻擊,在9月27日通過一系列技術手段修補了這一漏洞,並且積極向資料監管機構同步了此次資料洩露的情況。同時Facebook指出,大約5000萬用戶的訪問許可權因此次黑客攻擊受到了影響。然而,幾個星期後,Facebook將其認為受影響的人數減少到3000萬,理由是公司之前過高估計了此次黑客襲擊的影響範圍。即便砍掉了近半受影響使用者數,但多達3000萬賬戶資料洩露的事實,再次讓Facebook成為輿論焦點。
在Facebook已經確定的3000萬用戶中,約有2900萬用戶的重要個人資訊如姓名、聯絡人等被公開。這其中約有1400萬用戶的其他個人資訊如性別、親友關係、家鄉、生日以及最近打卡的位置資訊也被無辜擷取。對於剩下的100 萬人,Facebook表示黑客掌握了他們的登陸資訊後,目前還沒有顯示任何資訊被訪問。為了盡力彌補這次資料洩露事件帶來的不良後果,Facebook公佈了供使用者進行賬戶受影響情況查詢的網站。在這個網站上,使用者可以透過網站檢視賬戶是否受到影響以及賬戶的暴露程度。此外,Facebook還向受到影響的3000萬人陸續傳送訊息提醒,解釋攻擊者可能訪問了哪些資訊,以及他們可以採取哪些方式保護自己的資料。
10月3日,愛爾蘭資料保護監管機構正式在官網披露,開始調查Facebook洩密事件。對於遭到攻擊的原因,Facebook只是向愛爾蘭資料保護機構表示他們的內部調查仍在繼續,並且該公司將繼續採取補救措施以減輕使用者的潛在風險。但是,根據《財富》網站的新聞報道,已經有匿名知情人士透露,這一起黑客攻擊事件可能是由一家不具名數字營銷公司通過傳送大量垃圾郵件攻擊了Facebook的基礎軟體架構。Facebook之所以明確對外表示拒絕透露調查的具體內容,是因為美國的聯邦國家調查局也介入了這一事件並展開積極調查,同時要求 Facebook不要討論這次攻擊的可能來源。
在2018年的前三個季度,Facebook的資料安全漏洞問題已經多次見諸報端並引起使用者和廣告商的不滿。對此,Facebook的創始人扎克伯格公開承諾,他們將繼續推進資料安全的保護,並將在本年底將安全團隊的人員擴大到20000人,以防止Facebook的核心業務由於資料安全問題受到影響。
Twitter 追蹤使用者資料
來自倫敦大學學院的技術政策研究員邁克爾· 維爾(Michael Veale)在今年早些時候向Twitter提出了一項請求,希望實現GDPR下使用者對於資料處理的知情權。他在請求裡要求Twitter提供其縮短的分享連結機制追蹤到了關於他的具體資料資訊。但是在他發出以上請求後,Twitter以公司提供這些資料需要付出“不成比例的努力”為由拒絕了他的要求。同時,Twitter稱,使用t.co的短連結的目的除了通過Cookies追蹤統計使用者連結被點選的次數,也是公司保護使用者免受惡意網站攻擊、保障使用者資料安全的重要手段。
以上Twitter的理由並沒有讓維爾先生信服,他認為Twitter可能利用短連結追蹤並收集使用者的時間戳和所使用的裝置等資訊,並極有可能利用這些資料計算使用者的位置。隨後,他在8月份向愛爾蘭資料保護監管機構提出了針對Twitter的投訴。而就在10月13日,愛爾蘭資料保護監管機構的發言人在一份宣告中說:“在收到使用者對Twitter拒絕提供資料處理詳情的投訴後,資料保護委員會已經在上週開展了一項法定調查,調查的主要內容在於確定Twitter的前述行為是否有違反GDPR的情形。許多人似乎都在好奇,GDPR鉅額的罰款名單是不是又要增加一員“猛將”,但每日郵報的分析文章指出,Twitter由於違反GDPR觸發最高罰款的可能性不高,畢竟不像前面的Facebook一直處在輿論的風口浪尖,這只是它在遵守資料隱私規則方面所遭受的第一次調查。
關注重點
愛爾蘭資料保護監管機構尚未公開調查結果,我們也不知道Facebook和Twitter這次是否會被歐洲資料保護監管機構當做“殺雞儆猴”的典型。但是根據以上披露出來的新聞事實,我們可以總結出目前監管機構在資料合規方面關心的重點:
一、個人資料的安全性問題
在Facebook事件中,監管機構應該會重點審查Facebook是否遵守了GDPR中規定的義務,即是否實施了足夠的技術和組織措施,以確保其處理的個人資料的安全性。技術保障措施包括個人資料的假名化和加密,保證資料處理系統的快速恢復;以及在組織上採取一定的措施識別和阻止資料洩露,確保資料安全以及識別和分類個人資料。同時,GDPR還要求資料的控制者和處理者謹防“資料洩露”,進一步履行資料安全保護的義務。在防止資料洩露的手段中,企業如何防止未經授權的使用或訪問,對資料保護髮揮著至關重要的作用。
二、使用者對其資料享有各項權利的實現問題,比如訪問權(Access)
在針對Twitter的投訴事實裡,維爾提出Twitter不願意提供使用者所需要的對資料處理的資訊。
從GDPR上看,我們認為愛爾蘭監管機構可能會重點審查資料主體權利的實現問題。GDPR一項重要的要求,就是使用者有權利知道資料處理的目的,並且享有對自身資料進行管理的權利。
三、企業本身處理使用者個人資料是否遵循了最小化等原則
維爾在投訴中提出,Twitter對於短連結在後臺的追蹤等資料處理,有極大的可能已經超出了資料處理的目的所需要的限度。
在個人資料處理的相關原則部分,GDPR要求企業儘量減少處理個人資料的數量,要求企業對於個人資料的處理需要充分、相關且限制在資料處理目的所需的最小範圍內。這個被稱為“資料最小化”原則,也是Twitter在資料處理中可能被挑戰的一個方面。
啟示
愛爾蘭此番針對Facebook和Twitter的調查,為企業資料合規工作的開展上了生動又具體的一課。因此,當下把資料作為重要資產和“燃料”的網際網路企業,應該注意在資料處理上嚴格遵守“資料最小化”的處理原則,保障使用者權利,並在發生資料洩露事件後採取積極措施以降低影響。另外,小編想強調的是,資料安全也是資料合規中的重要環節,是我們搭建資料合規體系最重要的支點,離開資料安全的資料合規建設將會是無源之水,無本之木。