滴滴之后,优步再次陷入数据安全危机。互联网安全舆论漩涡的中心仍然是数据安全,这一点从近期的各种合规行动中可见一斑。其中,旅游行业因为涉及到庞大的用户数据和地图数据,成为数据安全的另一个重点。回到今天的主角,Uber。在数据泄露的“旧案”中,优步第四次受到安全指控。7月23日,澳大利亚信息专员办公室(OAIC)发布了对Uber2016年备受争议的违规行为的调查报告,确认Uber侵犯了超过100万澳大利亚人的隐私。2016年,黑客成功侵入优步数据库,窃取了全球5700万用户和司机的数据。泄露的数据包括优步客户的姓名、电子邮件地址和电话号码,以及700万司机的个人信息和60万个驾照号码。不过,优步并未立即将数据泄露事件通知受害者,而是向黑客支付了价值10万美元的比特币作为“封口费”。数据泄露事件直到2017年底才被曝光。同年12月,Uber向OAIC报告了这一事件。针对上述事件,OAIC表示,优步的违规行为包括:未能采取合理措施保护个人信息免遭未经授权的访问,以及未能基于特定目的删除或去标识化那些不再需要的个人信息.不过,由于暂时没有受害者投诉优步的数据泄露,他们无权向优步要求赔偿。虽然目前不需要对受伤用户进行赔偿,但仍需要优步建立信息安全计划,并指定专人负责。该计划需要能够识别澳大利亚用户信息的安全和完整性风险,例如信息丢失和未经授权的访问。它还需要对员工进行培训。优步在一份声明中表示,他们已经进行了技术更新,包括为其核心网约车业务信息系统获得ISO27001认证,并更新了内部安全政策,并将与第三方评估机构合作实施进一步的变革。“这是针对2016年数据事件的决议。我们将从错误中吸取教训,并重申我们继续赢得用户信任的承诺”。值得注意的是,优步早在2018年就因此事受到美国、英国和荷兰的处罚。在美国,Uber与50个州和哥伦比亚特区的总检察长达成了1.48亿美元的和解协议,承诺在数据处理方面更加透明。在英国,优步被罚款385,000英镑(约合529,000美元)。而且,荷兰的数据保护机构因未能在72小时内报告该事件而对Uber处以600,000欧元(707,000美元)的罚款。Uber之所以“处处受罚”,是因为其全球架构。在不同的地方法律下,他们违反的规定和处罚也不同。因此,当OAIC起诉其违反澳大利亚法律时,Uber辩称其不受法律约束,因为它已将澳大利亚人的个人信息转移到美国。然而,现在发布的报告让优步注意到澳大利亚的《隐私法》要求:澳大利亚人在向公司提供个人信息时受到《隐私法》的保护,即使这些信息在公司集团内转移到海外。优步在美国被罚如今,数据已经成为全球最受关注的科技相关要素之一,其重要性也体现在个人、企业、政府等各个方面。我们享受了数据带来的便利太久了,却没有足够重视数据背后的安全隐患。尽管《数据安全法》将于今年9月实施,但很多企业的数据安全理念还停留在如何通过审核,而不是如何保护数据。更重要的是,单靠企业的努力是远远不够的,个人数据安全意识有待提高。此外,海外企业具有特殊的全球结构,其数据流转需要根据其流转范围,依据当地数据相关法律,采取相关措施,确保海外数据的安全能够得到保障。避免在优步等多个地方面临处罚。
