法国数据保护当局确认涉及数据控制者安全义务的执法趋势
概述
现状:早在《通用数据保护条例》于5月25日生效之前,通过加重处罚强制执行安全义务的显著趋势即已呈现。
发展动态:法国数据保护当局(国家信息自由委员会,CNIL)就眼镜连锁店Optical Center的电子商务网站安全漏洞问题做出罚款处罚。
展望:《通用数据保护条例》现已生效,数据控制者和处理者尤其需要确保采取稳固完善的安全政策和程序。
2018年5月7日,CNIL做出决定,针对眼镜连锁店Optical Center的电子商务网站安全漏洞问题,对该公司处以250,000欧元的罚款。虽然这项决定的做出时间要早于《通用数据保护条例》的生效日期,即5月25日,但这项决定确认了通过加重处罚对安全义务从严执法的趋势。当然这一趋势在CNIL今年早些时候针对一家家用电器经销商的处罚决定中也已初见端倪。
尽管该眼镜连锁公司在获知消息后迅速做出反应,对异常现象予以纠正,但CNIL仍旧认为公司网站并未采取“最基本的安全措施”,进而认定Optical Center违反了保护消费者个人数据的安全责任。
CNIL曾在该公司的电子商务网站上成功访问到存储在客户账户内的文件,包括客户的发票和订购记录。此外,CNIL能够访问的文件还包括客户所上传处方中的健康信息以及客户的社保号码。该网站并未设置仅限特定用户访问网站文件的认证系统,因此仅通过修改url地址即可访问客户账户。
CNIL指出,Optical Center与供应商之间关于新网站功能的沟通依旧不正式。这就导致了作为数据控制者的Optical Center对供应商在安全措施等方面做出的行为、矫正措施或建议缺乏了解。
根据CNIL在处罚决定中的具体论证,Optical Center应在其网站上采用如下最低限度的安全措施:
-
实施访问控制功能,以便公司能够在用户访问个人文件之前核验该用户是否属于认证用户;
-
开展网站安全审计,包括测试访问控制功能;
-
与供应商之间就网站开发、纠错和建议(包括安全方面)开展正式化的沟通交流;
-
在推出新功能或更新之前对将要采用的测试程序予以说明,并通过文件(例如正式验收表)证明已在各种情况下实施遵守测试程序。
这种不给予提前正式通知即发布处罚措施的做法是《法国数据保护法》(由2016年10月7日之《数字共和国法》予以修改)第45条新授予CNIL的处罚权力。该法条规定,如果违法行为不可在获得正式通知过程中予以矫正,则可未经提前正式通知直接对违法行为做出处罚。《通用数据保护条例》也做出了类似规定。
尽管Optical Center做出辩驳称,此次安全违规行为并非有意为之,公司未从中获益,也没有证据表明有除CNIL调查组之外的人发现数据泄露,而且亦似乎未给相关数据主体造成伤害,但是,CNIL还是下令认为将处罚决定公之于众这一额外的处罚应在本案中适用。
随着《通用数据保护条例》项下的处罚力度加剧,上述决定再次表明,数据控制者和处理者必须核实确保已有稳固完善的安全政策和程序投入实施,包括对参与设置数据处理工具的供应商的限制政策和程序。按照《通用数据保护条例》, 5月25日之后发生的违反安全义务的行为的罚款金额最高为1,000万欧元或违法公司在上一年度全球年营业额的百分之二。
关键要点
鉴于近期的趋势以及《通用数据保护条例》项下的监管力度增加,各公司需确保拥有稳固完善的消费者数据保护方案和程序。违反安全义务会被处以高额罚款。
本文是原版英文众达法律评论的翻译。欲阅读全文,请点击原文。
联系律师
如需获取更多信息,敬请联络您在本所的委托代表或下列律师。普通邮件信息可通过“联系我们”表格发送,详情请见www.jonesday.com/contactus/。
黄敏琪
上海
+86.21.2201.8092
ahuang@jonesday.com
唐承慧
北京
+86.10.5866.1183
jtang@jonesday.com
袁黎明
上海
+86.21.2201.8106
lyuan@jonesday.com
Olivier Haas
巴黎
+33.1.56.59.38.84
ohaas@jonesday.com
Undine von Diemar
慕尼黑
+49.89.20.60.42.200
uvondiemar@jonesday.com
Daniel J. McLoon
洛杉矶
+1.213.243.2580
djmcloon@jonesday.com
Mauricio F. Paez
纽约
+1.212.326.7889
mfpaez@jonesday.com
众达的发表成果不得被视为针对任何特定事实或情况的法律建议,其内容仅作普通参考之用,未经我所事先书面同意,不得在任何其他发表成果或行动进程中引用或提及,且我所可自行决定是否予以或拒绝同意。如欲申请转载许可,请使用我所网站www.jonesday.com上的“联系我们(Contact Us)”表格。邮寄本发表成果非意在建立律师-客户关系,接收本发表成果亦不得视为构成律师-客户关系。本发表成果所载观点仅为作者个人的观点,并不必然代表本所立场。
