开拓欧盟市场?GDPR的巨坑了解一下 <质者见质>

德国莱茵tuv 开拓欧盟市场?GDPR的巨坑了解一下 <质者见质>
2019年3月27日 | 产品安全

      

在珠三角地区,聚集了很多儿童智能手表厂家。有些厂家为了以低廉的价格吸引买家,不把用户隐私当回事:肆意收集各类用户隐私信息,用户却毫不知情;没有为产品制定隐私政策;用户无法注销账户;有的儿童智能手表还存在严重的安全隐患,攻击者可以直接获取儿童的实时位置和个人信息,在父母不知情的情况下联系到儿童。

欧盟的一起儿童智能手表召回事件,为这些厂商敲响了警钟:以牺牲用户隐私和安全为代价的产品创收模式,今后可能走不通了。

年初,欧盟宣布全面召回由德国品牌ENOX推出的Saft-KID-One儿童智能手表。这是有史以来欧盟第一起因数据隐私问题而召回一件产品。据外媒报道,该款手表以不加密的方式和服务器通讯,使不法分子能够轻易取得服务器上的数据,对佩戴者的位置数据、电话号码、手表序号等隐私信息进行截取或修改。家长为了保护孩子安全而购买此类产品,结果却可能适得其反。

欧盟《通用数据保护条例》(GDPR),以及全球其他国家和地区逐渐完善的隐私保护相关政策法案,也督促厂商以更负责的方式去设计和生产出更安全的产品。
GDPR于2018年5月25日强制实施。在实施后的半年内,欧盟各国的数据保护委员会(DPA)收到近10 万起用户投诉,以及数据处理者上报的4 万多起数据泄漏事故。

• 2019年1月21日,美国谷歌公司违反了数据隐私保护相关规定,法国数据保护局 CNIL 将对其处以 5,000 万欧元罚款

• Knuddels.de 没有对密码等个人敏感信息进行任何形式的保护,而是以明文形式存储,被 Baden-Württemberg 数据保护局罚款 20,000 欧元

• 葡萄牙一家名为 Barreiro 的医院因其“未将临床数据的访问权限分开”,对患者数据的保护不当被处以 40 万欧元的罚款

图片来源:欧盟官方期刊

 

概括来说,服务提供商必须至少做到以下三点:

1. 给予用户拒绝收集和处理用户数据的权利,包括:拒绝利用该数据进行用户画像、产品优化

2. 默认关闭此类功能,并确保用户数据不会被用于服务范围以外,包括且不限于:非法出售获取利益、精准广告投放等

3. 采用匿名化等技术手段保护用户隐私

智能产品直接与用户进行交互,是获取用户个人数据的入口。欧盟的个人用户与买家普遍越来越关注智能产品是否符合GDPR 的数据保护要求。产品如果不能满足数据保护要求,不但很可能面临欧盟数据保护委员会的罚款,还会影响欧盟买家对产品的认可度。

德国莱茵TÜV自GDPR法案颁布之初就开始了深入研究,结合自身在信息安全领域近20年经验,开发出国际领先的技术标准,为全球企业提供产品隐私保护评估服务和产品渗透性测试服务。

在全球,德国莱茵TÜV 已经为视频监控、智能电视、智能小家电等行业的龙头企业进行了产品隐私保护评估和产品渗透性测试,帮助这些知名企业在数据保护领域的风险控制到了

评论

还没有任何评论,你来说两句吧

发表评论