作者:陈伊凡 李秀莉
10 月 8 日,Google 公司在一篇博客文章中宣布,将在未来十个月里永久关闭 Google + 的消费者版本。谷歌同时承认早在今年 3 月就发现了 Google + 的一个软件漏洞,这一漏洞可能导致 50 万用户的数据被泄露。而因担心声誉受损,和受到监管机构的注意,谷歌选择了向外界隐瞒这一事实。记者就此事向谷歌发送邮件,询问进一步应对情况,截至发稿未获回应。
数据泄漏后隐瞒不报
Google+(Google Plus,简称:G + 或 GPlus)是谷歌公司的社交网站与身份服务,推出于 2011 年。在今年 3 月的自我审查中,谷歌发现 Google + 的消费者版本存在一个长达两年多的软件漏洞,开发商可在未被用户知晓的情况下获得用户数据,包括姓名、电子邮件地址、职业、性别和年龄,即使这些数据被标记为非公开。约有 438 个应用访问了这些数据。潜在的数据泄露风险涉及用户达 50 万,且无法确定具体是哪些用户受到了影响。
谷歌称,谷歌的隐私和数据保护办公室审查了这个问题,查看了所涉及的数据类型,考虑了是否可以准确识别并通知用户,是否有任何滥用的证据,以及开发人员或用户是否可以采取任何行动以作出回应。评估后,“未发现任何开发人员知道或滥用这个问题的证据,也没有发现任何证据表明配置文件数据被滥用。” 谷歌认为无需通报此次漏洞事件。
但谷歌也承认,考虑到存在数据泄露的风险以及 Google + 消费者版本的使用率过低,谷歌决定在明年 8 月正式淘汰 Google + 的消费者版本。
“隐瞒不报” 或将免于行政罚款 但可能面临被提起集体诉讼风险
观韬中茂律师事务所合伙人王渝伟分析,根据《通?数据保护法案》(简称 GDPR)的适用范围,如果谷歌在欧盟设有业务机构或者处理欧盟内个人的个人数据,则受到 GDPR 的规制。GDPR 中确实做出了数据泄露通知义务,发生数据泄露,数据控制者应当在 72 小时内报告监管机构,以便监管机构采取后续行动;同时通知数据主体。不履行上述通知义务可能面临 GDPR 规定的高额罚款。但由于 GDPR 是在今年 5 月份实施,上述漏洞在 GDPR 实施前被发现的,所以谷歌 “隐瞒不报” 可能免于 GDPR 规定的行政罚款,但该公司可能面临着被提起集体诉讼的风险。
王渝伟表示,从谷歌此次泄露的数据的范围、数量和时间来看,影响人群较大、范围较广、时间较长,但谷歌声称没有发现这些数据被滥用,以及已经修复漏洞。根据 GDPR,在行政责任上,上述因素以及谷歌没有履行通知义务都会成为行政机关的考量因素。
数据保护问题仍是挑战
在承认软件漏洞的博客里,谷歌还公布了针对用户数据保护的新规,限制开发商使用谷歌电子邮件和文件存储等产品信息。包括:应用程序提示访问用户的谷歌数据时,必须以更显性的方式告知用户;只有直接增强电子邮件功能的应用程序 (如电子邮件客户端、电子邮件备份服务和生产率服务) 才会被授权访问用户的 Gmail 数据。
谷歌、推特、脸书都曾在 GDPR 颁布后推出过新的隐私保护条款。但数据保护问题仍然是互联网公司面临的挑战之一,就在今年 3 月,美国社交媒体脸书遭遇自创建以来最大的用户数据泄露事件之一,逾 5000 万脸书用户被第三方的数据分析公司不当使用,企图影响美国总统竞选、英国脱欧等政治活动。脸书公司首席执行官马克 · 扎克伯格也因数据泄露事件受到了国会质询。
“诸多泄露事件的发生以及 GDPR 的进一步实施会给大型企业敲响警钟,相信未来这些企业也会更加注重在数据安全保护上的投入,注重数据安全措施以及数据收集、使用的合法合规问题。” 王渝伟称。
记者随后发邮件询问 GDPR 对于谷歌此次泄漏事件的回应,截至发稿尚未得到回复。
来源:经济观察网