作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、国家互联网信息办公室等十三部门修订发布《网络安全审查办法》
2、中央网络安全和信息化委员会印发《“十四五”国家信息化规划》
3、信安标委发布《网络安全标准实践指南——网络数据分类分级指引》
4、国家互联网信息办公室等四部门发布《互联网信息服务算法推荐管理规定》
5、证监会:境内企业境外发行上市应当严格遵守数据安全等国家安全法律法规,切实履行国家安全保护义务
二、执法动态
1、北京市网信办发布消息约谈处罚知乎网
2、工信部确认阿里云被暂停网络安全威胁信息共享平台合作单位
三、司法审判
1、我成了“恶人”?!个人信息被网站公布并抹黑,如何维权?
2、“净网”集中行动公布第二批8起典型案件
四、新闻事件
1、工信部:完善医疗数据分类分级保护,强化医疗大数据保护
2、中国信息通信研究院发布《大数据白皮书(2021年)》
3、沪发布建设网络安全产业创新高地3年行动计划
五、域外观察
1、纽约州最新的《电子监控法》将为雇员提供额外的隐私保护
2、Meta 起诉香港公司的数据抓取行为
3、隐瞒数据泄露,UBER前首席安全官面临刑事指控
4、摩根士丹利支付6000万美元解决数据安全的集体诉讼
一、立法动态
1、国家互联网信息办公室等十三部门修订发布《网络安全审查办法》
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订了《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。(来源:人民网—人民日报)
2、中央网络安全和信息化委员会印发《“十四五”国家信息化规划》
近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分,是指导各地区、各部门信息化工作的行动指南。《规划》围绕确定的发展目标,部署了10项重大任务,一是建设泛在智联的数字基础设施体系,二是建立高效利用的数据要素资源体系,三是构建释放数字生产力的创新发展体系,四是培育先进安全的数字产业体系,五是构建产业数字化转型发展体系,六是构筑共建共治共享的数字社会治理体系,七是打造协同高效的数字政府服务体系,八是构建普惠便捷的数字民生保障体系,九是拓展互利共赢的数字领域国际合作体系,十是建立健全规范有序的数字化发展治理体系,并明确了5G创新应用工程等17项重点工程作为落实任务的重要抓手。(来源:中国网信网)
3、信安标委发布《网络安全标准实践指南——网络数据分类分级指引》
2021年12月31日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络数据分类分级指引》。为贯彻落实《中华人民共和国数据安全法》中“国家建立数据分类分级保护制度”要求,保障国家安全、公共利益、个人和组织的合法权益,该实践指南依据法律法规和政策标准要求,给出了网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。该实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。(来源:信安标委官网)
4、国家互联网信息办公室等四部门发布《互联网信息服务算法推荐管理规定》
近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(以下简称《规定》),自2022年3月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。《规定》明确了算法推荐服务提供者的用户权益保护要求,包括保障算法知情权,要求告知用户其提供算法推荐服务的情况,并公示服务的基本原理、目的意图和主要运行机制等;保障算法选择权,应当向用户提供不针对其个人特征的选项,或者便捷的关闭算法推荐服务的选项。此外,对向未成年人、老年人、劳动者和消费者等主体提供算法推荐服务的,《规定》明确了具体要求,如不得利用算法推荐服务诱导未成年人沉迷网络,应当便利老年人安全使用算法推荐服务,应当建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法,以及不得根据消费者的偏好、交易习惯等特征利用算法在交易价格等交易条件上实施不合理的差别待遇等。(来源:网信中国)
5、证监会:境内企业境外发行上市应当严格遵守数据安全等国家安全法律法规,切实履行国家安全保护义务
2021年12月24日,证监会公布《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(以下简称《管理规定》)和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,向社会公开征求意见。《管理规定》第八条规定,境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。国务院有关主管部门可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全的影响。(来源:数据保护官微信公众号)
二、执法动态
1、北京市网信办发布消息约谈处罚知乎网
12月20日,北京市网信办发布消息称,北京市网信办依法约谈知乎网,针对知乎网多次出现法律法规禁止发布或者传输的信息等问题,责令其立即整改,并进行行政处罚立案。据了解,国家互联网信息办公室指导北京市互联网信息办公室依法约谈知乎网负责人,针对知乎网多次出现法律法规禁止发布或者传输的信息等问题,依据《中华人民共和国网络安全法》,责令其立即整改,严肃处理相关责任人。北京市互联网信息办公室对知乎网违法行为进行行政处罚立案。20日下午,知乎网向央广网回应称,知乎诚恳接受主管部门批评,坚决落实整改要求,健全信息发布审核、公共信息巡查、应急处置等管理制度,切实履行主体责任,不断提高生态治理水平,为网络文明建设贡献新力量。知乎网负责人表示,将在整改期间自行暂停涉事相关功能。随后,记者在知乎APP中点击评论功能,页面显示“评论区功能升级中,暂时无法发送评论。可以使用[赞同并推荐]功能参与互动”。(来源:央广网)
2、工信部确认阿里云被暂停网络安全威胁信息共享平台合作单位
近日,工信部网络安全管理局通报称,阿里云计算有限公司(下称:阿里云)发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。据悉,2021年12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,工信部网络安全管理局提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。事实上,阿里云被“点名”,并非第一次。今年11月,阿里云就被工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈。当时,阿里云被通报了在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题。(来源:通信世界微信公众号)
三、司法审判
1、我成了“恶人”?!个人信息被网站公布并抹黑,如何维权?
基本案情:2020年6月开始,张某发现通过电商平台下单购买商品时,不少商家拒绝向其发货。经查,张某发现其姓名、联系方式、收货地址、电商平台注册账号等个人信息经部分加星“*”处理后,被公布在“反恶”公司运营的“反恶”网站上,并被打上“打假师、欺诈师、恶人、恶意欺诈”等标签。该网站系为电商商家提供曝光职业打假人的平台,商家在该网站注册账号并支付会员费后可以看到其他商家分享的买家信息。张某认为“反恶”公司作为网站运营者公布其个人信息,对其冠以上述称号,侵害了张某的个人信息权益及名誉权,故将“反恶”公司诉至法院,要求删除侵权信息、赔礼道歉、赔偿精神损失,并披露发布其个人信息及侵害其名誉权的网络用户姓名、联系方式、网络地址等信息。
争议焦点:1.“反恶”公司所发布的案涉信息是否属于个人信息;2.“反恶”公司发布案涉信息的行为是否构成对张某个人信息权益及名誉权的侵害。
裁判结果:广州互联网法院判决:一、“反恶”公司于判决发生法律效力之日起三日内删除“反恶”网站所有涉及张某的个人信息;二、“反恶”公司于判决发生法律效力之日起十日内在“反恶”网站首页连续30日置顶发布道歉声明;三、驳回张某的其他诉讼请求。上述判决已发生法律效力。
裁判理由:
一、“反恶”公司所发布的案涉信息属于个人信息。
根据《中华人民共和国民法典》第一千零三十四条的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。本案中,虽然“反恶”公司所发布的姓名、平台账号、电话号码、地址等信息均进行了加星“*”处理,未直接明确地指向张某,但根据张某提交的公证书显示,在“反恶”网站以张某和张某的手机号为关键词搜索后,结果显示的收件人姓名、平台账号、手机号码、收件地址、曝光记录与张某的个人信息、淘宝账号、京东账号、手机号码、收货地址相互重合。故,法院认定“反恶”公司公布的案涉信息可识别为张某的个人信息。
二、“反恶”公司发布案涉信息的行为构成对张某个人信息权益及名誉权的侵害。
1、“反恶”公司发布案涉信息的行为构成对张某个人信息权益的侵害。根据《中华人民共和国民法典》第一千零三十四条、第一千零三十五条的规定,自然人的个人信息受法律保护,处理个人信息,除法律、行政法规另有规定外,应当征得被处理信息的主体的明确同意。具体到本案,“反恶”公司收集注册用户提供的张某个人信息,对案涉信息进行审核、加星“*”处理,在满足一定条件后,对案涉信息进行发布。案涉信息包括张某的姓名、联系方式、平台账号、收货地址,上述信息是张某为购买商品授权平台商家在履行信息网络买卖合同范围内使用的个人信息,“反恶”公司未经张某同意,非法获取并发布上述信息,构成对张某个人信息权益的侵害。2、“反恶”公司发布案涉信息的行为构成对张某名誉权的侵害。本案中,“反恶”公司直接或间接地将张某的个人信息与具有侮辱等性质的负面评价词汇结合。一方面,案涉网站以“恶人”称呼职业打假人,网站首页使用“搜恶人”“曝光恶人”等侮辱性词汇;另一方面,“反恶”公司自述,注册用户在发布“恶人”信息时可以选择给“恶人”打上不同标签,包括预设标签和自定义标签,如“恶意敲诈”“骗运费险”“威胁好评返现”“恶意退货”“恶意差评”等。“反恶”公司故意使用上述具有侮辱等性质的负面评价词汇描述张某,客观上降低了张某的社会评价。根据《中华人民共和国民法典》第一千零二十四条“民事主体享有名誉权。任何组织或者个人不得以侮辱、诽谤等方式侵害他人的名誉权”的规定,“反恶”公司的上述行为构成对张某名誉权的侵害。3、根据《中华人民共和国民法典》第九百九十五条的规定,人格权益受到侵害的,权利人有权要求侵权人赔礼道歉。张某要求“反恶”公司赔礼道歉于法有据,法院予以支持。鉴于案涉侵权行为发生在“反恶”网站,“反恶”公司应在该网站首页连续30日置顶发布道歉声明,就非法处理张某个人信息和侵害张某名誉权的行为道歉。根据《中华人民共和国民法典》第一千零三十七条的规定,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。张某诉请“反恶”公司停止侵权,删除“反恶”网站上所有涉及张某的个人信息于法有据。因张某未提供证据证明其存在严重精神损害,故法院对赔偿精神损失的诉请不予支持。4、关于张某诉请“反恶”公司披露发布其个人信息及侵犯其名誉权的网络用户的姓名、联系方式、网络地址,因该诉请不具有强制执行性,且“反恶”公司已经法院判决承担侵权责任,故法院不予支持。
法官说法:构成个人信息要满足三个要件:首先是具有可识别性,这是核心要件。所谓识别就是通过该信息可以直接或者间接地将某一自然人“认出来”。识别包括直接识别和间接识别:直接识别是指通过该信息可以直接确认某一自然人的身份,无须其他信息的辅助,例如某人的身份证号、基因信息等;间接识别是指通过该信息虽不能直接确定某人的身份,但可以借助其他信息确定某人的身份。
其次是要有一定的载体,这是个人信息的形式要件。个人信息必须是要以电子或者其他方式记录下来。
最后,个人信息的主体只能是自然人,法人或者非法人组织不是个人信息的主体。个人信息类型众多,包括但不限于自然人的身份信息、生理信息、社会信息、健康信息等。现实中,认定某项信息是否属于个人信息的难点在于该信息是否具有可识别性。信息处理者仅对个人信息简单进行部分加星“*”处理,但是通过关键词搜索仍可以关联到该信息相对应的姓名、平台账号、手机号码、收件地址、曝光记录等,即可以认定该信息具有可识别性。(来源:广州互联网法院微信公众号)
2、“净网”集中行动公布第二批8起典型案件
2021年6月起各地各部门深入开展“净网”集中行动,着重整治网上历史虚无主义、涉黄涉非、涉低俗等有害信息,深度清理有悖社会主义核心价值观内容,查办了一批典型案件。12月23日,全国“扫黄打非”办公室公布第二批8起典型案件,情况如下:
——浙江永康秦某某等人传播淫秽物品牟利案。以秦某某为首的犯罪团伙研发了含大量淫秽视频的“趣享网盘”App,通过挂靠黄色网站、高流量网站和发展代理等模式推广,吸引用户下载并充值观看。该平台注册人数411万余人,充值会员164万余人,充值盈利达8111万余元,注册会员中有大量未成年人。永康市公安机关对该团伙一网打尽。
点评:网盘是存储分享类技术产品。用该方式传播淫秽视频,情节严重的,构成传播淫秽物品牟利罪。
——广东广州“萤火直播”平台传播淫秽物品牟利案。经查,犯罪集团在境外架设服务器,利用“萤火直播”App进行淫秽直播,并在网上开设赌场,注册主播3000余人,累计注册用户达千万人,App月流水超2亿元,总涉案金额约10亿元。广州市公安机关抓获嫌疑人131人。
点评:这是近年来广州查处的涉案金额最大、判决人员最多的一起网络直播平台传播淫秽物品牟利案。跨境涉黄涉赌团伙利用直播平台通过色情主播招赌和打赏牟利,被执法机关全链条打击。
——湖北十堰魏某景等人传播淫秽物品牟利案。经查,魏某景、顿某华于2020年10月搭建某原创内容分销系统网络平台,伙同魏某虎、王某娟等人通过微信公众号推广淫秽色情小说链接,诱导网民充值牟利。平台运营以来,共发布淫秽色情小说200余部,其中44部被鉴定为淫秽物品。经统计,上述淫秽物品被点击千万余次,违法所得50.7万余元。今年10月26日,魏某景、顿某华等6名被告人因犯传播淫秽物品牟利罪,被判处有期徒刑六年至六个月不等。
点评:利用微信公众号推广色情小说,平均一部淫秽色情作品点击就达20多万人次,危害范围极广。对以身试法者必须坚决打击。微信平台也要举一反三,不给违法违规内容提供传播渠道。
——上海“青山汉化组”等传播淫秽物品牟利案。经查,犯罪嫌疑人王某等组建“青山汉化组”“大帝国汉化组”等多个汉化组,从境外网站获取大量淫秽游戏进行破解,招募汉化员对淫秽游戏内容进行转译,继而通过社交软件、以会员制进群等方式招募玩家,并以互联网分享方式向群内会员提供淫秽游戏下载,在境内网上大范围传播,目标受众为广大青少年群体。今年4月至8月,公安机关分赴22省份70余市开展同步抓捕,抓获涉案人员89人。
点评:为了牟取不当利益,罔顾法律大量汉化境外淫秽游戏,以青少年为主要目标。既严重污染国内网络环境,又长期荼毒青少年身心健康,违法犯罪分子必将受到法律严惩。
——江西南昌某网民发表侮辱英烈违法言论案。经查,今年10月8日,左某东在新浪微博上用账号“左右的佑佑”发言,为因侮辱抗美援朝志愿军英烈被刑拘的罗某平“鸣不平”,大肆发布侮辱革命先烈的言论。公安机关对其作出行政拘留十日的处罚。微博平台对相关账号予以关闭。
点评:侮辱、诽谤或以其他方式侵害英雄烈士名誉、荣誉的行为,损害了社会公共利益,必须受到依法严惩。
——上海某服装有限公司发布违背社会良好风尚广告案。今年6月3日,网上流传该服装有限公司北京分公司在北京市朝阳大悦城相关门店里摆放广告,以甘肃白银越野赛参赛选手坐在地上抱团取暖的照片为背景,宣传“排汗速干不着凉”等内容。上海市浦东区市场监管局依法对当事人处以罚款60万元。
点评:广告作为常见信息载体,其制作发布也要以弘扬社会主义核心价值观为价值引导。甘肃白银越野赛事故是一个悲剧事件,当事人发布上述广告,借用事故宣传经销商品,违背社会良好风尚。
——福建福州某网络科技公司未经批准擅自上网出版网络游戏案。经查,今年9月至10月,福州某网络科技公司未经批准,擅自上网出版网络游戏《九州烽火》,并在游戏首页上套用从网络上搜索到的版号信息进行运营,违反了网络出版物服务管理规定。福州市新闻出版局责令该公司删除全部相关网络出版物,并作出没收违法所得16772元、罚款83860元的行政处罚。
点评:严查网络游戏领域违法违规行为,尤其要防范游戏本身传播有害信息。本案中套用其他游戏版号擅自上网出版,内容安全隐患风险较大,且扰乱了行业秩序。
——北京等地查处某动漫传播“软色情”信息案。多个平台出现所谓“《辉夜大小姐》同人版”,含有色情及大量“软色情”内容。今年8月,北京市文化执法部门对登载这些有害内容的3家网站作出行政处罚,上海市对1家动漫平台进行约谈,责令清除有害内容,并加强内容审核。
点评:“软色情”打擦边球,对未成年人身心健康危害不亚于色情。近年来动漫同人版传播“软色情”行为一再发生,相关平台务必警钟长鸣,严把内容审核关口。(来源:新华网)
四、新闻事件
1、工信部:完善医疗数据分类分级保护,强化医疗大数据保护
近日,工业和信息化部装备工业一司司长王卫明表示,《“十四五”医疗装备产业发展规划》保障医疗大数据安全。加快提升攻击防护、漏洞挖掘、态势感知等安全产品和解决方案的研发能力,为医疗装备远程运维、医疗装备健康管理、医疗互联网、互联网+医疗健康、远程诊疗等的发展,筑牢风险防范的屏障和堤坝。完善医疗数据分类分级保护制度,强化涉及国家利益、商业秘密、个人隐私的医疗大数据保护。(来源:澎湃新闻)
2、中国信息通信研究院发布《大数据白皮书(2021年)》
近日,中国信息通信研究院正式发布《大数据白皮书(2021年)》。本白皮书以数据要素的价值释放作为可信逻辑,重点探索大数据政策、法律、技术、管理、流通、安全等方面的内容,并对“十四五”期间我国大数据的发展进行展望。利用好数据要素是驱动数字经济创新发展的重要抓手。“十四五”期间我国将立足新发展阶段、贯彻新发展理念,进一步提升数字化发展水平,为数字经济发展提供持久的新动力,进而为构建现代化经济体系和新发展格局提供强大支撑。一是释放数据价值将成为全球竞争战略的重要组成部分;二是进一步发挥大数据技术在数据价值挖掘方面的效用;三是数据治理制度体系与技术工具双轨并进;四是新数据流通业态与政策制度协同创新;五是数据合规法律体系将进一步完善成熟。(来源:数据保护官微信公众号)
3、沪发布建设网络安全产业创新高地3年行动计划
上海市经济信息化委、市委网信办、市发展改革委、市科委、市财政局、市通信管理局联合发布《上海市建设网络安全产业创新高地行动计划(2021-2023年)》,着力推动技术服务转型升级,持续深化场景需求开放引导,重点打造协同创新载体支撑,全力建设产业生态制度体系。到2023年,本市网络安全产业规模倍增至250亿元,年复合增长率超过25%,带动相关产业增长超过2500亿元,培育10家行业龙头企业,基本建成具有全国影响力的产业创新高地。(来源:上海经信委)
五、域外观察
1、纽约州最新的《电子监控法》将为雇员提供额外的隐私保护
从2022年5月7日开始,纽约州从事员工通信电子监控的雇主将被要求通知其员工此类监控。该法案(即S2628)要求纽约州的所有雇主向新雇用的雇员提供事先书面通知,如果他们打算监视或获取任何电子设备、系统对话、电子邮件以及互联网访问或使用。这可能就包括Zoom或Teams等视频会议平台。并且该通知应当满足以下条件:①以书面形式提供;②以电子文件或其他电子版本记录;③由每位员工以书面或电子形式确认。(来源:数据保护官微信公众号)
2、Meta 起诉香港公司的数据抓取行为
Instagram母公司Meta在一项新的诉讼中称,总部位于香港的社交数据交易公司(Social Data Trading Ltd.)从Instagram窃取数据,并将这些信息用于付费分析服务。Meta在提交给美国加利福尼亚州北区地方法院的一份诉状中称,社交数据交易公司“向客户提供了从Instagram用户档案中获取的信息,如验证的标志状态、粉丝数量、帖子数量、喜欢的数量和评论数量,以及某些用户的粉丝信息。” 不过被告表示公司服务“完全符合相关法律”,仅利用公开信息,而获取和分析公开信息是一项基本权利,无论是通过手工或通过技术帮助实现。(来源:数据保护官微信公众号)
3、隐瞒数据泄露,UBER前首席安全官面临刑事指控
近日,美国联邦大陪审团指控优步(Uber)的前首席安全官(CSO)约瑟夫·沙利文(Joseph Sullivan)犯有三项电汇欺诈罪,此前沙利文因隐瞒2016年的大规模数据泄露事件而被起诉。现年52岁的沙利文2015年4月至2017年11月期间担任优步的CSO,目前还面临2020年八月被指控的妨碍司法公正和叛国罪等重罪指控。如果这些罪名成立,沙利文将面临最高8年的监禁和50万美元的罚款。检察官声称沙利文向当局隐瞒和误导2016年的数据泄露事件,该事件暴露了5700万乘客的个人信息,其中包括约60万名优步司机的驾照等信息。在这次数据泄露事件中,沙利文最引人注目的“骚操作”是通过漏洞赏金计划向黑客支付了价值10万美元的比特币。在联邦贸易委员会(FTC)就此次泄露事件展开调查时,沙利文提供了书面答复并提供了宣誓作证。在他向FTC作证大约十天后,2016年11月14日,这位CSO收到了一封来自攻击者的电子邮件,通知他另一次网络攻击。这位优步前CSO选择了掩盖事件,向黑客支付了巨额“封口费”。事后,沙利文还指示黑客销毁数据。不仅如此,沙利文甚至还寻求与攻击者签订保密协议(NDA),要求他们发布虚假消息称没有信息或数据被泄露。事件最终以两名黑客身份败露落入法网告终,但是根据2019年10月美国司法部的新闻稿,由于沙利文未能及时披露优步数据事件,导致两名黑客继续作案成功入侵了其他公司和用户。2018年,优步向50个州和哥伦比亚特区支付了1.48亿美元的和解金。尽管如此,对沙利文的单独刑事指控仍在继续。如果2020年的指控成立,沙利文将面临最高8年的监禁和50万美元的罚款。目前担任Cloudflare首席安全官的沙利文的出庭日期尚未确定。(来源:数据保护官微信公众号)
4、摩根士丹利支付6000万美元解决数据安全的集体诉讼
摩根士丹利(Morgan Stanley)同意支付6000万美元,以解决客户提起的一项集体诉讼。客户表示,这家华尔街银行接连两次未能妥善淘汰部分落后的信息技术,以至于暴露了他们的个人数据。2021年12月31日,代表约1500万客户提出的集体诉讼的初步和解已提交曼哈顿联邦法院,该和解需要美国地区法官安娜莉莎·托雷斯(Analisa Torres)的批准。客户将获得至少两年的欺诈赔偿金,其中每人可申请报销高达10000美元的现金损失。根据和解文件,摩根士丹利否认同意和解有不当行为,并对其数据安全做法进行了“实质性”升级。客户指控摩根士丹利在2016年未能淘汰两个财富管理数据中心,而此后未加密的设备(仍包含客户数据)被转售给了未经授权的第三方。他们还表示,在摩根士丹利于2019年将一些包含客户数据的旧服务器转让给外部供应商后,这些服务器失踪了。此外,法庭文件显示,摩根士丹利后来恢复了服务器。摩根士丹利没有在营业时间以外立即回应评论的请求。2020年10月,摩根士丹利同意支付6000万美元的民事罚款,以解决美国通货监理局(OCC)对该事件的指控,包括其信息安全行动不安全或不健全。目前本案正在纽约南区的地方法院就摩根士丹利的数据安全问题进行诉讼。(来源:数据保护官微信公众号)