德国数据保护中心上周在境内祭出第一笔基于《欧盟通用数据保护规则》(GDPR)的罚单,当地的聊天平台Knuddels.de因以明文存放密码而被判罚2万欧元,有别于大家想象中的巨额罚款,该数据保护中心则说,他们并不打算挑战最高罚款,最重要的是能够改善用户的数据安全及隐私。
Knuddels.de是在今年7月遭到黑客入侵,黑客盗走了该站的用户数据,还对外公布了187.2万名用户名称及密码,以及用户个人文件中的电子邮件地址、用户姓名与居住地等信息。令人傻眼的是,该站以明文存放了所有用户的密码。
Knuddels.de在得知此事之后,立即要求所有的用户变更密码,并向德国数据保护中心报告。
德国数据保护中心指出,Knuddels.de以明文存放用户密码是故意违反了保障用户数据安全的责任,有违GDPR的规定,有鉴于Knuddels.de的合作态度良好,再加上很快就采取行动以改善该站的安全机制,在衡量Knuddels.de的整体财务负担之后,祭出2万欧元的罚款。
根据GDPR的规定,若严重侵犯用户隐私或数据,企业最高可能被判罚2,000万欧元(约7.2亿元新台币)或企业全球营收的4%,两者取其高者。
为此,德国数据保护中心则强调,GDPR的用意不只是在有效及劝阻性,也应与企业规模相对称,该规定最终目的是在保障用户的隐私及数据安全,而非在于挑战最高罚款金额。