2022年11月3日,德国黑森州数据保护和信息自由专员(HBDI)发布信息,告知黑森州的数据控制者应当紧急检查其使用的浏览器设置,因为在开启基于云的拼写支持功能时,密码等个人数据可能在没有法律依据的情况下被传输给浏览器提供商,这可能违反对个人数据的保护要求。
本文译自《增强的拼写检查:浏览器功能可能会将个人身份信息传输给第三方》(Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln),原文来自德国黑森州数据保护和信息自由专员官网。
现代网络浏览器在许多方面支持用户尽可能舒适地使用互联网。检查在网页上输入的文字是否正确并提出改进建议的拼写检查功能早已屡见不鲜。
同时,网络浏览器提供商有时也会提供“扩展”、“改进”或“智能”的拼写支持。此时也使用了基于云的功能,例如通过人工智能(AI)实现更好的结果。如果这种基于云的拼写支持是开启的,所有的用户输入数据基本上都被传输到了提供商的服务器中。正如美国一家IT安全公司的调查显示,如果相关网站的运营者没有通过特别的预防措施来防止这种情况,甚至连密码都可以被传送。
HBDI了解到,在一些情况下基于云的拼写支持会在更新时不知不觉地被激活。这导致个人数据无意中被传输到浏览器提供商那里。在此背景下,HBDI紧急建议位于黑森州的数据控制者检查他们使用的浏览器设置,并在必要时进行调整。
如果个人数据已经在没有法律依据的情况下被传输给浏览器提供商,则需要采取进一步行动。根据GDPR第四条第12项,此类个人数据的传输通常属于个人数据泄露。如果数据泄露可能会给自然人的权利和自由带来风险,控制者必须立即并尽可能在72小时内向主管监督机构报告(GDPR第三十三条第1款)。此外,如果数据主体的权利和自由有可能面临高风险,则必须将数据泄露事件通知这些数据主体,不得有不当延迟(GDPR第三十四条第1款)。无论风险如何,数据控制者在任何情况下都必须根据GDPR第三十三条第5款记录数据泄露事件,以便监管机构审查。关于规定的风险评估所需的进一步信息可以在GDPR的第七十五和七十六条以及联邦和各州独立数据保护机构会议的第18号简报中找到。
如果数据控制者担心由于浏览器智能拼写支持功能激活而导致的信息安全风险,可以联系当地的信息安全联系人和/或当地的信息专家。
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
