法国数据保护局根据GDPR开出罚单

本报讯 近日，法国数据保护局（CNIL）以本国一家为个人提供汽车保险服务的公司未保护好其网站用户的个人数据为由向其开出了18万欧元的罚单。虽然这一数目比不上CNIL在2018年6月向一家房地产公司所开罚单的金额，但此次数据泄露事件的严重程度却不比其小。 起初，上述汽车保险公司的一名客户发现能够通过自己的账户访问其他客户的个人数据（包括驾驶证复印件、汽车相关文件以及银行身份信息等），因而向CNIL进行了投诉。随后，该数据监管机构便展开了调查，发现人们只要在搜索引擎里输入客户的姓名或在该保险公司网站的链接地址里添加相关数字就可直接获取到客户的数据。因此，CNIL要求该公司针对这种情形采取补救措施。之后，CNIL对该保险公司的补救措施进行了检查。该监管机构发现，这些措施不足以阻止个人数据被访问，而“robots.text”文件本可以被用来阻止搜索引擎访问个人数据。而且，用户的登录密码（生日）也缺乏一定的安全性，其显示在登录列表中并能够以明码电文通过邮箱进行发送。此外，该保险公司本应该确保每一个访问这些文件的人都获得授权。有鉴于此，CNIL向该公司开出了罚单，理由是其违背了《通用数据保护条例》（GDPR）第32条的规定，未履行保护自身网站用户个人数据安全的义务。 该监管机构开出上述罚单主要是基于GDPR第83条所规定的标准（能够被公众访问的个人数据和相关文件的类型以及受影响的数据主体的数量），该保险公司对数据外泄进行补救的响应以及对CNIL调查工作的配合等因素。（李艳秋）