Uber因2016年数据泄露处理不当 收到英国和荷兰共计92万英镑罚单

英国和荷兰的数据保护监管机构已经对Uber的大量数据泄露事件开出了巨额罚款，该数据泄露事件影响了有关客户和司机的信息，因为今年早些时候，美国各州也对Uber开出了创纪录的罚款。

英国信息专员办公室(ICO)周二表示，由于“未能在网络攻击期间保护客户的个人信息”，Uber将被罚款高达38.5万英镑。

ICO表示，“一系列本可避免的数据安全漏洞，使得大约270万英国客户的个人信息被攻击者从Uber美国母公司运营的基于云的存储系统访问和下载”，并补充说数据包括完整姓名、电子邮件地址和电话号码。

根据ICO的说法，在2016年10月和11月发生的数据泄露事件中，还窃取了英国近82,000名司机的记录，包括行程细节和支付费用。

与此同时，荷兰数据保护局(DPA)以“违反荷兰数据泄露条例”的方式向Uber处以60万欧元(53.2万英镑)的罚款。 “Uber之所以被罚款，是因为它没有在发现数据泄露事件后的72小时内，向荷兰DPA和数据主体报告数据泄露。”它说。

英国和荷兰仅占更广泛数据泄露的一小部分，该事件影响了约5700万乘客。Uber意识到它已于2016年12月遭到黑客攻击，但该公司在去年11月从表示，它没有通知监管机构或受影响的人，而是向黑客支付10万美元以销毁被盗信息。

英国美国保险公司(ICO)表示，此次网络攻击是对1998年美国《数据保护法》(Data Protection Act)的“严重违反”，使客户和司机面临更大的欺诈风险。荷兰监管机构表示，严惩优步处以罚款，是因为该公司没有遵守国家规定的72小时窗口内报告违规行为。

今年9月，Uber同意支付创纪录的1.48亿美元，与美国所有50个州和哥伦比亚特区就数据泄露达成和解。作为协议的一部分，它还被要求“采用模型数据泄露通知和数据安全实践，以及公司诚信计划，让员工报告不道德行为，并聘请独立第三方评估其数据安全实践。”

ICO调查主任Steve Eckersley说：

“这不仅是Uber数据安全的严重失误，而且完全无视其个人信息被盗的客户和司机。当时，没有采取任何措施通知任何受此数据泄露行为影响的人，或提供帮助和支持。这让他们处于无保护的状态。”

Uber周二表示，在事件发生后以及之后的几年中，它已经“对其系统的安全性进行了一些技术改进。”

“我们还在领导层方面做出了重大改变，以确保监管机构和客户的正确透明度。”一位发言人说，“我们从错误中吸取教训，并继续致力于每天赢得用户的信任。”

由于数据泄露事件发生在2016年，因此不受欧盟于5月生效的《通用数据保护条例》(GDPR)法规的约束。否则，这一新规可能会加大对Uber等公司的处罚，罚款高达全球年收入的4%或2000万欧元，以较高者为准。