优步被发现干扰了超过 100 万澳大利亚人的隐私

澳大利亚信息专员办公室 (OAIC) 已裁定优步在 2016 年干涉了超过 100 万澳大利亚人的隐私。澳大利亚信息专员兼隐私专员安吉琳·福尔克周五表示，总部位于美国的优步技术公司和总部位于荷兰的Uber BV 在 2016 年 10 月和 2016 年 11 月因数据泄露而被访问时，未能适当保护大约 120 万澳大利亚客户和司机的个人数据。 2017 年底，黑客窃取了 5700 万名优步乘客的数据。以及超过 600,000 名司机的数据。优步没有通知受影响的人，而是隐瞒了一年多的违规行为，并支付了一名黑客对其保密。虽然优步要求攻击者销毁数据并且没有进一步滥用的证据，但 OAIC 表示其调查的重点是优步是否采取了预防措施来保护澳大利亚人的数据。 Falk 发现 Uber 公司违反了 1988 年的隐私法，没有采取合理措施保护澳大利亚人的个人信息免遭未经授权的访问，并根据需要销毁或取消识别数据。她说，这家科技巨头也未能采取合理措施来实施实践、程序和系统，以确保遵守澳大利亚隐私原则 (APP)。 “优步没有负责任地披露违规行为，而是通过漏洞赏金计划向攻击者支付奖励，以识别安全漏洞，”该决定称。 “优步直到数据泄露事件发生近一年后才对可能被访问的个人信息进行全面评估，并且直到 2017 年 11 月才公开披露数据泄露事件。”

APP 11.1 要求公司采取合理措施保护个人信息免遭未经授权的访问，而 APP 11.2 要求采取合理措施删除或取消识别不再需要用于许可目的的个人信息。 OAIC 发现，同样违反了 APP 1.2，该条款要求公司采取合理步骤实施与实体职能或活动相关的实践、程序和系统，以确保遵守 APP。在她的决心中，福尔克说优步公司绝不能重复这些行为和做法。她还要求优步在三个月内准备一项数据保留和销毁政策，该政策将在实施后启用并确保优步公司遵守 APP 11.2。 Falk 还要求 Uber 建立一个信息安全计划并任命一个人来掌舵。该计划必须识别与优步公司收集和/或持有的澳大利亚用户个人信息的安全性或完整性相关的风险，这些风险可能导致这些信息的滥用、干扰或丢失，或未经授权的访问、修改或披露。它还必须包括对员工的进修培训，并拥有严格的保障措施。隐私专员还希望公司实施事件响应计划，其中包括对构成数据泄露的明确解释。福尔克表示，此事引发了围绕《隐私法》适用于海外公司的复杂问题，这些公司将澳大利亚人的个人信息的处理外包给其集团内的其他公司。在这种情况下，澳大利亚人的个人信息已根据外包安排直接转移到美国的服务器上，这家美国公司辩称，这不受《隐私法》的约束。

“澳大利亚人需要确保他们在向公司提供个人信息时受到隐私法的保护，即使这些信息在公司集团内部转移到海外，”她补充道。为此，她的决定还包括要求对 Uber 遵守《澳大利亚隐私法》的情况进行独立评估。专员还命令优步公司任命一名独立专家审查和报告这些政策和计划及其实施情况，将报告提交给 OAIC，并在报告中提出任何必要的修改建议。优步于 2018 年 9 月同意就该事件在美国和解中支付 1.48 亿美元，几个月后，英国和荷兰监管机构因 2016 年数据泄露事件被罚款超过 90 万英镑。两名男子于 2019 年 10 月对黑客行为认罪，优步的前首席安全官于 2020 年 8 月被美国当局指控掩盖事实。作为对 OAIC 的决定的回应，优步发言人告诉 ZDNet，它对事件的解决表示欢迎。他们说：“我们从错误中吸取教训，并重申我们继续赢得用户信任的承诺。”

“自 2016 年发生该事件以来，我们对系统的安全性进行了多项技术改进，包括获得我们核心乘车业务信息系统的 ISO 27001 认证和更新内部安全政策，以及对领导层进行重大调整。”我们相信这些安全和治理方面的变化将满足 OAIC 的决定，并将与第三方评估员合作实施任何需要的进一步变化。”