(纳闻记者李文瑞报导)
评论
许多数据泄露事件对 Optus 和 Medibank 的公众形象产生了不利影响,这些事件继续在澳大利亚媒体上得到广泛报道,并得到这些组织的首席执行官的悲痛承认。 这些违规行为提升了隐私和网络安全在政治领域的重要性。
这些数据泄露使数百万希望自己的数据受到保护的澳大利亚人面临风险。 不出所料,10 月 26 日,Medibank 在停牌一段时间后复牌时,股价从 3.78 美元(2.42 美元)的高位暴跌至 2.87 美元(1.84 美元)的低位,反映出对其 3.8 美元的不满。百万会员。
具有讽刺意味的是,Optus 一直无法保护其客户的数据,尽管它在其网站上表示其网络安全和托管安全服务“为企业提供了可扩展和灵活的解决方案,以防止数据盗窃、安全漏洞和系统故障。”
Optus 和 Medibank 未能实施足够的安全控制来保护他们的客户免受数据盗窃,从而损害了他们的机密信息。
不幸的是,保护隐私权的呼声与网络犯罪分子的无限想象力相匹配和激发,他们试图穿透这些公司的安全墙。
这些罪犯很难在任何国家找到并在国际上开展活动,同时保持匿名。 公司的数字印记具有真正的国际化维度。
政府采取更严厉的法律
在这种情况下,阿尔巴尼亚政府现在正计划通过一项法律,对严重的数据泄露行为进行更严厉的处罚,这并不奇怪。
在反对派支持的一项举措中,政府打算大幅增加对严重侵犯隐私的处罚。
2014 年 10 月 1 日,Medibank 标牌位于澳大利亚墨尔本 Docklands 的 Medibank 大楼顶部。(Scott Barbour/Getty Images)
联邦总检察长马克·德雷福斯在 10 月 22 日的新闻稿中表示,“我们需要更好的法律来规范公司如何管理他们收集的大量数据,并需要更大的惩罚来激励更好的行为。”
它说,2022 年隐私立法修正案(执法和其他措施)法案将根据 1988 年隐私法适用的最高处罚增加至以下两者中的较大者:
5000 万美元,是通过侵犯隐私获得的任何利益价值的三倍; 或违规期间组织营业额的 30%。
对于有理由担心频繁发生数据泄露的人们来说,这项立法的通过是个好消息。 它已达到流行程度,扭曲了澳大利亚主要公司和政府机构的正常业务运营。
采用的简单规则
过去几周令人不快的数据泄露事件为在处理客户信息时采用以下简单但有效的规则提供了令人信服的理由。
首先,在收集数据时,通常会尝试收集本身对于组织的特定目的而言不必要的信息。
因此,有必要根据客户提供的信息仔细调整相关组织的需求。
其次,应根据澳大利亚隐私原则 11.2 删除不再需要、变得无关紧要或过时的信息。 它指出,不再需要“出于任何可能使用或披露信息的目的的信息”的实体必须“采取在当时情况下合理的步骤来销毁信息或确保信息被去识别。”
一台笔记本电脑,如文件照片所示。 (Tomohiro Ohsumi/盖蒂图片社)
第三,组织需要确保客户对收集其信息的同意是明确的,并构成有意义的选择。
在这种情况下,客户在填写会员表格时,如果未勾选“同意”框,通常无法继续其申请。 在这种情况下,“同意”不是客户自由意志的表达,而仅仅是将相关主体的不合理期望强加给客户。
这将与同意相反,因为申请表不允许行使真正的选择。 欧盟的《通用数据保护条例》(GDPR)相关规定,“如果数据主体没有真正或自由的选择,或者无法拒绝或撤回同意而不会造成损害”,则不会给予同意。
第四,组织需要立即采用双因素识别方法,为客户提供额外的保护。 虽然这种方法明显增加了客户的管理负担,但它是防止网络犯罪分子滥用其数据的合理且相称的保护措施。
就 Medibank 而言,使用 GDPR 的语言,该因素应有助于保护“个人数据……与数据主体的健康状况有关,这些数据揭示与过去、当前或未来的身体或心理健康状况有关的信息数据主体的。”
当与实体共享个人敏感和机密信息时,这些预防措施可能会成为保护个人敏感和机密信息的重要步骤。
本文观点为作者个人观点,不代表媒体观点。
