国际征信观察| 益博睿南非数据泄漏追踪(6): “益博睿做到位了吗?”—-来自法律合规人士的质疑

全联并购公会信用管理专业委员会海外征信研究小组  2020/10/14

作者:Ahmore Burger-Smidt ,原标题为:“南非的大规模数据泄露中:益博睿做得够了吗?”

    征信机构益博睿发生的大规模数据泄露事件已将多达2400万南非人和近80万企业的个人信息暴露给了可疑的欺诈者。

   益博睿南非公司(Experian)于2020年8月19日在声明中宣布了数据泄露:“我们的调查表明,一个南非人以假冒合法客户的名义假冒益博睿要求提供其服务。这些服务涉及日常业务过程中公开发布的信息。”

    发生此事件后,益博睿南非表示已通知有关部门,包括国家信用管局和信息管局以及其他主要利益相关者;并且已识别出此数据泄露的肇事者,并获得了针对它的安东·皮勒命令,从而有效地“扣押”了数据泄露的硬件和软件。此外,被盗用的数据得到了保护和删除。

    益博睿(Experian)已向信息监管机构发布了通知,这无疑是正确的举措,但是否充分?

    益博睿表示“( 欺诈分子)未获得任何消费者信用或消费者财务信息”,但这次数据泄漏为什么是违规的呢?

    我们还不清楚为什么宣布实际数据泄露是在监管机构规定的三个月的期限到期之前。我们也无法了解到在益博睿意识到数据泄露之前,这些信息是否在其他地方泄露了。

    可悲的是,以上仅是2020年的前八个月在南非“已知”四大主要数据泄露事件之一,毫无疑问,这不会是2020年的最后一次数据泄露事件。不幸的是,这些令人担忧的数据泄露事件的增加与公司的备灾情况没有关系。实际上,许多公司都准备不足。

    数据泄露对财务的影响无疑是最直接,最棘手的后果之一。有明显的例子表明,公司在数据泄露后将面临严重的财务损失问题。比如雅虎在2013年遭遇的数据泄露。该漏洞在2016年被美国电信公司Verizon收购时才发现。此次收购是在雅虎以折扣价约3.5亿美元的价格进行的。

   研究表明,数据泄露相关的成本在持续上升。防范网络攻击的问题在于,无论为防范网络攻击付出多少努力,总还是有很大可能发生这种情况。

   网络诈骗通常以电子邮件的形式发送,并提示用户点击装有恶意软件的恶意链接,使恶意攻击者可以在需要时从公司网络中窃取数据。

    要想应对这些攻击,需要为员工配备专业的工具和职业的培训,这将有助于公司将来抵御此类威胁。此外,在发布个人信息之前如果没有遵循的完善流程,就会带来风险,并且可能会出现向其他人发布个人信息的风险。

   这些数据泄露提高了适用于处理个人信息的企业针对稳健立法的需求。针对数据泄露的出现,2013年南非颁布的《个人信息保护法(Protection of Personal Information Act,POPI)》明确阐明了信息管理者的期望。

   《个人信息保护法》力求实施1996年颁布的《南非共和国宪法》第14条所规定的隐私权。《个人信息保护法》的序言认为,隐私权包括免受非法收集,保留,传播和使用的权利。《个人信息保护法》规定公司有责任以负责任的方式处理个人信息,其中包括防止数据泄露。

《个人信息保护法》规定,如果发生数据泄露事件,在合理时间内,责任方(定义为处理个人信息的个人或企业)将有义务通知信息管理者及受影响的各方。

《个人信息保护法》的第22条规定,通知必须提供足够的信息,以使数据主体能够采取保护措施,以防止受到损害的潜在后果,包括以下内容:

•对安全漏洞可能造成的后果的描述;

•说明负责方打算采取或已经采取的解决安全威胁的措施;

•关于数据主体将采取哪些措施以减轻安全威胁可能产生的不利影响的建议;和

(如果责任方知道)可能访问或获取了个人信息的未授权人员的身份。

   数据泄露带来的不可否认的声誉和财务损失,而且可能对企业运营造巨大的成的破坏。《个人信息保护法》有关数据泄露的规定将加强当局的权威,以打击南非的数据泄露,但这还不够。责任方必须确保已制定适当的数据泄露响应计划。此数据响应计划必须符合《个人信息保护法》第22节中包含的通知要求。负责任的各方必须承担起责任,对员工进行培训,使他们了解《个人信息保护法》以及与数据泄露相关的危险。

作者 Ahmore Burger-Smidt是Werksmans Attorneys数据隐私业务小组的董事兼负责人。

欢迎转载,请注明“PCCM-海外观察”

参考链接

发表评论

电子邮件地址不会被公开。 必填项已用*标注