谷歌 50 万用户数据泄露事件：专家称其或将面临被集体诉讼风险

---

作者：陈伊凡 李秀莉
10 月 8 日，Google 公司在一篇博客文章中宣布，将在未来十个月里永久关闭 Google + 的消费者版本。谷歌同时承认早在今年 3 月就发现了 Google + 的一个软件漏洞，这一漏洞可能导致 50 万用户的数据被泄露。而因担心声誉受损，和受到监管机构的注意，谷歌选择了向外界隐瞒这一事实。记者就此事向谷歌发送邮件，询问进一步应对情况，截至发稿未获回应。

数据泄漏后隐瞒不报

Google+（Google Plus，简称：G + 或 GPlus）是谷歌公司的社交网站与身份服务，推出于 2011 年。在今年 3 月的自我审查中，谷歌发现 Google + 的消费者版本存在一个长达两年多的软件漏洞，开发商可在未被用户知晓的情况下获得用户数据，包括姓名、电子邮件地址、职业、性别和年龄，即使这些数据被标记为非公开。约有 438 个应用访问了这些数据。潜在的数据泄露风险涉及用户达 50 万，且无法确定具体是哪些用户受到了影响。

谷歌称，谷歌的隐私和数据保护办公室审查了这个问题，查看了所涉及的数据类型，考虑了是否可以准确识别并通知用户，是否有任何滥用的证据，以及开发人员或用户是否可以采取任何行动以作出回应。评估后，“未发现任何开发人员知道或滥用这个问题的证据，也没有发现任何证据表明配置文件数据被滥用。” 谷歌认为无需通报此次漏洞事件。

但谷歌也承认，考虑到存在数据泄露的风险以及 Google + 消费者版本的使用率过低，谷歌决定在明年 8 月正式淘汰 Google + 的消费者版本。

“隐瞒不报” 或将免于行政罚款 但可能面临被提起集体诉讼风险

观韬中茂律师事务所合伙人王渝伟分析，根据《通?数据保护法案》（简称 GDPR）的适用范围，如果谷歌在欧盟设有业务机构或者处理欧盟内个人的个人数据，则受到 GDPR 的规制。GDPR 中确实做出了数据泄露通知义务，发生数据泄露，数据控制者应当在 72 小时内报告监管机构，以便监管机构采取后续行动；同时通知数据主体。不履行上述通知义务可能面临 GDPR 规定的高额罚款。但由于 GDPR 是在今年 5 月份实施，上述漏洞在 GDPR 实施前被发现的，所以谷歌 “隐瞒不报” 可能免于 GDPR 规定的行政罚款，但该公司可能面临着被提起集体诉讼的风险。

王渝伟表示，从谷歌此次泄露的数据的范围、数量和时间来看，影响人群较大、范围较广、时间较长，但谷歌声称没有发现这些数据被滥用，以及已经修复漏洞。根据 GDPR，在行政责任上，上述因素以及谷歌没有履行通知义务都会成为行政机关的考量因素。

数据保护问题仍是挑战

在承认软件漏洞的博客里，谷歌还公布了针对用户数据保护的新规，限制开发商使用谷歌电子邮件和文件存储等产品信息。包括：应用程序提示访问用户的谷歌数据时，必须以更显性的方式告知用户；只有直接增强电子邮件功能的应用程序 (如电子邮件客户端、电子邮件备份服务和生产率服务) 才会被授权访问用户的 Gmail 数据。

谷歌、推特、脸书都曾在 GDPR 颁布后推出过新的隐私保护条款。但数据保护问题仍然是互联网公司面临的挑战之一，就在今年 3 月，美国社交媒体脸书遭遇自创建以来最大的用户数据泄露事件之一，逾 5000 万脸书用户被第三方的数据分析公司不当使用，企图影响美国总统竞选、英国脱欧等政治活动。脸书公司首席执行官马克 · 扎克伯格也因数据泄露事件受到了国会质询。

“诸多泄露事件的发生以及 GDPR 的进一步实施会给大型企业敲响警钟，相信未来这些企业也会更加注重在数据安全保护上的投入，注重数据安全措施以及数据收集、使用的合法合规问题。” 王渝伟称。

记者随后发邮件询问 GDPR 对于谷歌此次泄漏事件的回应，截至发稿尚未得到回复。
来源：经济观察网

---

---