APUS研究院:数据泄露&用户追踪?数据保护机构究竟关心什么

2018-10-22
离开数据安全的数据合规建设将会是无源之水,无本之木。

467335013643190509.jpg

来源丨APUS研究院

GDPR正式实施后,爱尔兰的数据保护监管机构就数据保护问题对多个互联网大厂展开了调查。近期,针对Facebook、Twitter的调查占据了全球各大媒体头条。下面小编就带领大家分析这两个备受瞩目的数据保护热点事件。

Facebook 用户数据泄露

9月末,Facebook首次向公众披露公司的系统遭到黑客袭击。事件经过是公司内部的工程师团队在9月14日发现产品中的三项安全漏洞遭到黑客攻击,在9月27日通过一系列技术手段修补了这一漏洞,并且积极向数据监管机构同步了此次数据泄露的情况。同时Facebook指出,大约5000万用户的访问权限因此次黑客攻击受到了影响。然而,几个星期后,Facebook将其认为受影响的人数减少到3000万,理由是公司之前过高估计了此次黑客袭击的影响范围。即便砍掉了近半受影响用户数,但多达3000万账户数据泄露的事实,再次让Facebook成为舆论焦点。

在Facebook已经确定的3000万用户中,约有2900万用户的重要个人信息如姓名、联系人等被公开。这其中约有1400万用户的其他个人信息如性别、亲友关系、家乡、生日以及最近打卡的位置信息也被无辜截取。对于剩下的100 万人,Facebook表示黑客掌握了他们的登陆信息后,目前还没有显示任何信息被访问。为了尽力弥补这次数据泄露事件带来的不良后果,Facebook公布了供用户进行账户受影响情况查询的网站。在这个网站上,用户可以透过网站查看账户是否受到影响以及账户的暴露程度。此外,Facebook还向受到影响的3000万人陆续发送消息提醒,解释攻击者可能访问了哪些信息,以及他们可以采取哪些方式保护自己的数据。

10月3日,爱尔兰数据保护监管机构正式在官网披露,开始调查Facebook泄密事件。对于遭到攻击的原因,Facebook只是向爱尔兰数据保护机构表示他们的内部调查仍在继续,并且该公司将继续采取补救措施以减轻用户的潜在风险。但是,根据《财富》网站的新闻报道,已经有匿名知情人士透露,这一起黑客攻击事件可能是由一家不具名数字营销公司通过发送大量垃圾邮件攻击了Facebook的基础软件架构。Facebook之所以明确对外表示拒绝透露调查的具体内容,是因为美国的联邦国家调查局也介入了这一事件并展开积极调查,同时要求 Facebook不要讨论这次攻击的可能来源。

在2018年的前三个季度,Facebook的数据安全漏洞问题已经多次见诸报端并引起用户和广告商的不满。对此,Facebook的创始人扎克伯格公开承诺,他们将继续推进数据安全的保护,并将在本年底将安全团队的人员扩大到20000人,以防止Facebook的核心业务由于数据安全问题受到影响。

Twitter 追踪用户数据

来自伦敦大学学院的技术政策研究员迈克尔· 维尔(Michael Veale)在今年早些时候向Twitter提出了一项请求,希望实现GDPR下用户对于数据处理的知情权。他在请求里要求Twitter提供其缩短的分享链接机制追踪到了关于他的具体数据信息。但是在他发出以上请求后,Twitter以公司提供这些数据需要付出“不成比例的努力”为由拒绝了他的要求。同时,Twitter称,使用t.co的短链接的目的除了通过Cookies追踪统计用户链接被点击的次数,也是公司保护用户免受恶意网站攻击、保障用户数据安全的重要手段。

以上Twitter的理由并没有让维尔先生信服,他认为Twitter可能利用短链接追踪并收集用户的时间戳和所使用的设备等信息,并极有可能利用这些数据计算用户的位置。随后,他在8月份向爱尔兰数据保护监管机构提出了针对Twitter的投诉。而就在10月13日,爱尔兰数据保护监管机构的发言人在一份声明中说:“在收到用户对Twitter拒绝提供数据处理详情的投诉后,数据保护委员会已经在上周开展了一项法定调查,调查的主要内容在于确定Twitter的前述行为是否有违反GDPR的情形。许多人似乎都在好奇,GDPR巨额的罚款名单是不是又要增加一员“猛将”,但每日邮报的分析文章指出,Twitter由于违反GDPR触发最高罚款的可能性不高,毕竟不像前面的Facebook一直处在舆论的风口浪尖,这只是它在遵守数据隐私规则方面所遭受的第一次调查。

关注重点

爱尔兰数据保护监管机构尚未公开调查结果,我们也不知道Facebook和Twitter这次是否会被欧洲数据保护监管机构当做“杀鸡儆猴”的典型。但是根据以上披露出来的新闻事实,我们可以总结出目前监管机构在数据合规方面关心的重点:

一、个人数据的安全性问题

在Facebook事件中,监管机构应该会重点审查Facebook是否遵守了GDPR中规定的义务,即是否实施了足够的技术和组织措施,以确保其处理的个人数据的安全性。技术保障措施包括个人数据的假名化和加密,保证数据处理系统的快速恢复;以及在组织上采取一定的措施识别和阻止数据泄露,确保数据安全以及识别和分类个人数据。同时,GDPR还要求数据的控制者和处理者谨防“数据泄露”,进一步履行数据安全保护的义务。在防止数据泄露的手段中,企业如何防止未经授权的使用或访问,对数据保护发挥着至关重要的作用。

二、用户对其数据享有各项权利的实现问题,比如访问权(Access)

在针对Twitter的投诉事实里,维尔提出Twitter不愿意提供用户所需要的对数据处理的信息。

从GDPR上看,我们认为爱尔兰监管机构可能会重点审查数据主体权利的实现问题。GDPR一项重要的要求,就是用户有权利知道数据处理的目的,并且享有对自身数据进行管理的权利。

三、企业本身处理用户个人数据是否遵循了最小化等原则

维尔在投诉中提出,Twitter对于短链接在后台的追踪等数据处理,有极大的可能已经超出了数据处理的目的所需要的限度。

在个人数据处理的相关原则部分,GDPR要求企业尽量减少处理个人数据的数量,要求企业对于个人数据的处理需要充分、相关且限制在数据处理目的所需的最小范围内。这个被称为“数据最小化”原则,也是Twitter在数据处理中可能被挑战的一个方面。

启示

爱尔兰此番针对Facebook和Twitter的调查,为企业数据合规工作的开展上了生动又具体的一课。因此,当下把数据作为重要资产和“燃料”的互联网企业,应该注意在数据处理上严格遵守“数据最小化”的处理原则,保障用户权利,并在发生数据泄露事件后采取积极措施以降低影响。另外,小编想强调的是,数据安全也是数据合规中的重要环节,是我们搭建数据合规体系最重要的支点,离开数据安全的数据合规建设将会是无源之水,无本之木。