谷歌数据泄露和解事件新闻回顾:
2018年谷歌同时承认早在今年3月就发现了Google+的一个软件漏洞,这一漏洞可能导致50万用户的数据被泄露。而因担心声誉受损,和受到监管机构的注意,谷歌选择了向外界隐瞒这一事实。
数据泄漏后隐瞒不报
Google+(Google Plus,简称:G+或GPlus)是谷歌公司的社交网站与身份服务,推出于2011年。在今年3月的自我审查中,谷歌发现Google+的消费者版本存在一个长达两年多的软件漏洞,开发商可在未被用户知晓的情况下获得用户数据,包括姓名、电子邮件地址、职业、性别和年龄,即使这些数据被标记为非公开。约有438个应用访问了这些数据。潜在的数据泄露风险涉及用户达50万,且无法确定具体是哪些用户受到了影响。
谷歌称,谷歌的隐私和数据保护办公室审查了这个问题,查看了所涉及的数据类型,考虑了是否可以准确识别并通知用户,是否有任何滥用的证据,以及开发人员或用户是否可以采取任何行动以作出回应。评估后,“未发现任何开发人员知道或滥用这个问题的证据,也没有发现任何证据表明配置文件数据被滥用。”谷歌认为无需通报此次漏洞事件。
但谷歌也承认,考虑到存在数据泄露的风险以及Google+消费者版本的使用率过低,谷歌决定在明年8月正式淘汰Google+的消费者版本。
“隐瞒不报”或将免于行政罚款 但可能面临被提起集体诉讼风险
根据《通?数据保护法案》(简称 GDPR)的适用范围,如果谷歌在欧盟设有业务机构或者处理欧盟内个人的个人数据,则受到 GDPR 的规制。GDPR 中确实做出了数据泄露通知义务,发生数据泄露,数据控制者应当在72小时内报告监管机构,以便监管机构采取后续行动;同时通知数据主体。不履行上述通知义务可能面临 GDPR 规定的高额罚款。但由于 GDPR 是在今年5月份实施,上述漏洞在 GDPR 实施前被发现的,所以谷歌“隐瞒不报”可能免于 GDPR 规定的行政罚款,但该公司可能面临着被提起集体诉讼的风险。
从谷歌此次泄露的数据的范围、数量和时间来看,影响人群较大、范围较广、时间较长,但谷歌声称没有发现这些数据被滥用,以及已经修复漏洞。根据 GDPR,在行政责任上,上述因素以及谷歌没有履行通知义务都会成为行政机关的考量因素。
数据保护问题仍是挑战
在承认软件漏洞的博客里,谷歌还公布了针对用户数据保护的新规,限制开发商使用谷歌电子邮件和文件存储等产品信息。包括:应用程序提示访问用户的谷歌数据时,必须以更显性的方式告知用户;只有直接增强电子邮件功能的应用程序(如电子邮件客户端、电子邮件备份服务和生产率服务)才会被授权访问用户的Gmail数据。
谷歌、推特、脸书都曾在GDPR颁布后推出过新的隐私保护条款。但数据保护问题仍然是互联网公司面临的挑战之一,就在今年3月,美国社交媒体脸书遭遇自创建以来最大的用户数据泄露事件之一,逾5000万脸书用户被第三方的数据分析公司不当使用,企图影响美国总统竞选、英国脱欧等政治活动。脸书公司首席执行官马克·扎克伯格也因数据泄露事件受到了国会质询。
诸多泄露事件的发生以及 GDPR 的进一步实施会给大型企业敲响警钟,相信未来这些企业也会更加注重在数据安全保护上的投入,注重数据安全措施以及数据收集、使用的合法合规问题。
此前报道过谷歌非法收集儿童隐私被罚巨款
据外媒报道,Alphabet公司旗下谷歌同意支付约2亿美元的和解费,以了结美国联邦贸易委员会(FTC)对其视频平台YouTube涉嫌违反儿童隐私法的调查,同时可能会在下周宣布和解协议。
这将是有史以来,因违反了《儿童在线隐私保护条例》而被监管机构处罚的金额最大的一笔罚款,不过谷歌对此拒绝置评。
谷歌被罚2亿美元
据公开信息,谷歌推出的YouTube Kids,这是谷歌旗下视频网站YouTube专门为儿童和青少年设计的应用,专注于儿童友好型内容。该网站的创建是为了给孩子们创造一个更安全的环境,让他们探索自己的兴趣和培养好奇心,同时为父母提供为孩子定制体验的工具。
YouTubeKids面向的用户群是基于三个不同年龄段,分别为:学前班、5-7岁和8-12岁,家长可以从中选择适合自己孩子年龄的内容。
然而,有知情人士曾向FTC投诉称,YouTube涉嫌收集未成年人的个人信息,未经父母同意就使用这些信息投放广告,违反了《儿童在线隐私保护法》(Children 's Online Privacy Protection Act)。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
