德國首例GDPR處罰案出爐，企業竟犯如此低階錯誤…

文/麻策律師

德國資料保護當局近日在德國境內作出第一例基於《歐盟通用資料保護條例》（GDPR）而作出的罰單。德國一聊天社交平臺Knuddels.de竟然是因為以明文方式存放其使用者的賬號密碼這麼低階的錯誤，而被判罰承擔2萬歐元的罰款。

事情的起因在於2018年夏天，有黑客攻擊了Knuddels.de平臺，然後發現約有808,000封電子郵件地址和180多萬個使用者名稱和密碼被曝光，黑客後來還在部分提供雲端儲存服務的網上以明文形式公佈了這些資訊。德國資料保護當局調查顯示，Knuddels.de平臺確實以純文字形式儲存使用者資料, 沒有任何保障措施。

值得一提的是，相關媒體報道，Knuddels.de平臺曾在網站上聲稱“2012年，公司通過雜湊方式加密儲存了使用者的密碼”，但令人啼笑皆非的是，該平臺在使用雜湊加密的方式儲存後，竟然同時把非雜湊版本的明文賬號密碼也保留在了網路伺服器上。發生黑客事件後，該平臺很快刪除了未雜湊版的密碼版本，並表示"很抱歉, 我們沒有早點採取這一步驟"。這個處罰也來得太simple了。

在發生黑客攻擊事件後，knuddels通知了其使用者, 暫時停用了所有賬戶，並向監管當局進行了報告，以及實施更多的安全措施。

GDPR第32條（資料處理安全性）條款要求資料控制者和處理者應當採取適當的技術和組織措施保證安全與風險一致性，包括要對個人資料進行假名化和加密處理。同時，GDPR第33條（洩露報告）條款要求個人資料洩露的情況下，控制者應當儘快且最遲自知道該洩露之時起72小時之內，通知監管機構。GDPR第34條（資料主體告知）條款要求如果個人資料洩露可能對自然人的權利和自由造成高風險，控制者應當毫無延誤地就個人資料洩露和資料主體進行交流，這種交流應當以清晰平實的語言描述個人資料洩露的性質和內容，並至少告知使用者dpo姓名和聯絡方式、洩露的後果、資料控制者為此所採取的措施或計劃採取的措施。

在這起罰款事件上中，監管的處罰本來會更高, 但因為knuddels與德國資料保護當局有著較高的合作透明度和配合度，因此處以了目前程度的罰款。其實，根據事件的嚴重程度, GDPR規定最高可處以2000萬歐元的罰款, 或上一會計年度年收入的4%。德國資料保護當局表示, 處罰應當是“罪責刑相符合”，並公告認為 "那些從危害中吸取教訓並以透明方式採取行動改善資料保護的人, 作為一家公司, 在黑客攻擊中可能會變得更加強大。"，並認為“德國資料保護當局沒有意願加入GDPR最高罰款的案例競爭”。

GDPR頒佈後，確實有很多機構一直在宣告GDPR最厲害的地方在於罰款額度之高，但其實，GDPR第83條規定“行政罰款應當在個案中有效、與違反本條例的行為相稱並具有懲戒性”，在確定罰款數額時，應當考慮多達10餘項因素，包括違法行為的性質、嚴重程度、故意或過失、採取的措施、以前的違法行為、為了補救不利影響而和監管機構的配合程度、受影響的個人資料類別、是否履行的報告等等。

所以最高可處以2000萬歐元的罰款的可能性並不總是如影隨形，畢竟誰都不敢去處以這個最高的罰款金額，因為誰都不知道最為嚴重的GDPR違法事件會是什麼樣子的。這像極了國內的刑案案件處罰，像網際網路金融中P2P非法吸收公眾存款，以前幾千萬就可以判個5年，現在動不動就上億，數十億，你叫法官怎麼判，總不可能超過法定刑10年吧，所以，這也是監管機構的潛判心理。

所以，咱在寫《隱私政策》時也長點心吧，因為很多人寫到“我們如何保護您的個人資訊”這一篇章時，經常是沒什麼新意，覺得按模板寫就好了，其實每一個技術措施都應當和公司進行一一確認，不要少了更不能多了。

宣告：本文來自網路法實務圈，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。