近日,荷兰数据保护局(DPA)对全球出行巨头优步(Uber)开出了一张创纪录的罚单,金额高达2.9亿欧元(约合23亿人民币)。罚款原因是优步将欧洲司机数据传输至美国时,涉嫌未能遵守欧盟严格的数据保护标准。
荷兰DPA表示,优步在数据传输过程中未能适当保护司机的敏感信息,严重违反了《通用数据保护条例》(GDPR)的规定,同时也暴露了优步在数据保护方面的重大疏漏。
值得注意的是,这并非优步首次因数据处理问题受到荷兰DPA的处罚。今年早些时候,优步因未能披露其关于欧洲司机数据保留期限的完整信息,以及与非欧洲国家共享数据的具体情况,已被处以1000万欧元的罚款。
2.9亿欧元罚单,再刷新了2024年网安的处罚金额!
优步收到的2.9亿欧元罚单,刷新了2024年GDPR罚款记录。荷兰DPA对优步的重罚,再次明确了欧盟对个人数据保护的坚定立场。
巨额罚单,不仅是对优步的警告,也是对所有公司的提醒,必须严格保护用户隐私数据。
上传至服务器的数据未进行保护,存在安全风险也是处罚原因之一。
DPA表示,Uber在美国的服务器上收集并保存了司机的账户信息、出租车牌照、位置数据、照片、付款细节和身份证件等重要数据,在某些情况下甚至还有犯罪和医疗数据。这些敏感数据的泄露可能对个人隐私和安全造成严重影响,甚至可能威胁到用户的生命和财产安全。 DPA方面表示,Uber将个人数据转移到美国,但未能妥善保护这些数据。这严重违反了《通用数据保护条例》。
事实上,我国也是网络攻击的主要受害国之一。
近年来,黑客组织、犯罪团伙和不法分子持续对我国关键信息基础设施、重要行业部门实施网络攻击,入侵重要信息系统,窃取重要数据,不仅侵害个人隐私、商业秘密,更对国家重要数据安全带来了严重危害。
保护敏感数据安全,就要在事发前预先做好防控。因此,安全专家建议:
1、对敏感且涉密数据进行加密授权保护
众所周知,保护数据安全最有效的措施就是加密。企业机构应加密所有敏感数据(包括传输的数据),对数据加密可有效防控数据泄露,未解密的数据没有可利用价值。同时,对数据应有授权保护,无关人员无法打开浏览内容,更无法拷贝数据。
2、部署数据防泄漏系统(DLP)
政企等涉密机构,可部署数据防泄漏系统,可有效避免内部人员无意或恶意的数据外泄。数据防泄漏系统会对内容进行识别,通过识别可扩展到对数据泄露的防控,可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略,防护敏感数据外泄。
3、数据管控
数据管控策略可有效避免“内鬼”将机密外泄。常见的管控技术有:数据分类分级管控、数据水印追溯管控、离职管控、加密管控、应用软件管控等。
随着产业数字化的高速推进,越来越多的企业选择SaaS OA办公管理系统云端办公。云办公利用互联网建立起的网络办公环境,虽然大幅提高了工作效率,但数据交互、数据储存在云服务器中,企业对数据是不可控,无法监管员工上网行为和云端数据的安全性,同时云服务商的自身安全隐患也将威胁到企业数据安全。
云访问安全系统(CASB)部署灵活且维护容易,可适应各种网络拓扑模型。核心功能包括:多种部署方式、深度可视化展示、数据加解密(可同时支持国密及国际加密算法)、DLP数据防泄漏、数据分级管控、僵尸账户检测、高可用双机热备模式、Web页面自定义水印、自定义敏感数据类型、API脱敏模式、FTP管控、负载均衡、第三方应用软件管控、防病毒功能、异常提醒等,可确保企业办公安全。