在本期《现场说法》听众热线节目中,从本案出发,介绍一下数据保护和网络安全方面的法律法规,以及公司和用户各自应该承担的法律责任和理应拥有的法律权利。以下以问答形式呈现。
1. 最近,澳大利亚第二大电信公司Optus的用户数据泄露事件在网络上引发了轩然大波。而据说,类似的事件已经不止一次在Optus公司发生了,只是这次波及的范围更广,影响的人群也更多。林律师,您能给我们简单回顾一下Optus用户数据泄露的历史吗?
在 2008 年和 2014 年相继爆出 Optus 公司泄露了大量数据,影响人数多达 40 万人后,Optus于 2015 年向澳洲隐私专员(Australian Privacy Commissioner)承诺会保护客户信息。
2022年9月22日, Optus称,公司遭到网络攻击并发生数据泄露事件,涉及980万Optus客户,接近澳大利亚人口的40%,是澳大利亚历史上最大的数据泄露事件之一。
Optus于9月29日终于确认,在被盗的信息中还包括3.7万个(Medicare)全民医保卡的个人信息,但截止至 2022 年 10 月 2 日中午,由于 Optus没有提供更多信息,州政府以及领地政府仍然不知道到底有多少驾照信息需要更新。
2. Optus公司的用户数据是如何泄露的?
Optus 的应用程序接口(application programming interface (API))不需要授权、也不需要验证。这就意味着,任何知道这个端点的人都可能从这个 API 获取信息。
Optus 目前还没确认黑客是如何截取信息的,但是 Optus 坚称是由复杂攻击导致的数据泄露。但是内政部长Claire O’Neil说此次信息数据是由于 Optus 内部的漏洞。内政部长的观点与网络安全记者Jeremy Kirk的观点不谋而合。Jeremy Kirk 报道说此次 Optus 的信息泄露,不是由于复杂的网络攻击,而是 Optus 本身的问题,应用程序接口(API) 用于允许系统转移数据,当这个接口不需要授权的时候,想要获取系统信息不难。现在这个接口已经下线。
3. 用户信息泄露究竟会造成什么样的后果?
诈骗分子可能会使用您的个人身份信息贷款、申请信用卡等。以下是一个信息泄露受害者 Georgia 的故事。
2019年 Georgia发现自己银行卡少了 7000 澳币。她马上打电话给银行,才发现有一个女的冒充她,告诉银行自己需要马上取现金。Georgia说这次问题充其量是人为失误。后来,Georgia 才知道自己的个人信息是从房产中介那里泄露的。
从2019 年至今的三年内,由于信息泄露导致的问题层出不穷,Georgia 个人名下开了好几个不明银行账户,她还有 buy now, pay later的不明消费债务、还有一项针对她的税收诈骗罪指控。现在她又是此次 Optus 信息泄露案的受害者之一。
4. 从澳大利亚的法律层面而言,像Optus这样级别的公司,在数据保护和网络安全方面需要遵循哪些法律法规?
澳洲13 条隐私法原则
澳洲现行的《隐私法》规定了 13 条澳洲隐私原则(Australian Privacy Policy, 简称 APP)。APPs 适用于政府机构和年营业额超过 3 百万的企业。这 13 条原则是灵活的,在保障客户的隐私同时,又不给机构和企业增添额外的负担。
13 条原则的内容大致如下:
1) 公开透明地管理个人信息;
2) 允许用户匿名、以及使用假名;
3) 征求用户同意后,才征集用户信息;
4) 处理未征求用户同意取得的用户信息;
5) 通知用户,其个人信息已经被收集;
6) 使用或披露个人信息;
7) (针对具体用户)直接营销;
8) 跨境披露个人信息;
9) 使用、披露政府相关信息;
10) 个人信息质量(即准确度、完整性等)(依据信息收集目的而定);
11) 个人信息安全度;
12) 获取个人信息;
13) 纠正个人信息。
SBS致力于用60种语言报道最新的COVID-19新闻和信息,详情请前往:sbs.com.au/coronavirus。
