汇业评论:
在GDPR监管实践中,数据控制者是合规长期的关注核心,而数据处理者则常因“辅助性义务”的角色定位,将自己隐身在数据控制者背后,同时,相关处罚案例在全球范围内相对少见。此前,即使有数据处理者被处罚,也多是由于超出数据控制者的指令处理数据(“做的太多”),逾期未删除数据(“做的太少”)等,但本案例的处罚原因是软件设计、开发与运维(配置和访问控制)方面的缺陷,将GDPR下的“适当的技术措施”解释为包含软件设计和开发运维,虽这本应是“适当的技术措施”的题中之义,但仍然值得这些行业借鉴:OEM和ODM技术方案提供商,如app开发与运维,网站开发与运维,SaaS软件的开发与运维商等。
⸺魏冬冬律师
关键词:软件开发运维商 数据处理者 配置和访问控制缺陷
一、案件背景信息
NEXPUBLICA(原 Inetum Software France)是一家专注于信息系统和软件设计的公司,其开发的PCRM软件被用于集中管理残疾相关应用和服务,在系统运行过程中由该公司负责软件维护和托管。在2022年10月26日至11月14日期间,该软件因配置和访问控制方面的缺陷先后发生两起个人数据泄露事件,导致用户能够在未经授权的情况下访问他人的档案文件,泄露的数据信息涉及健康状况和残疾信息等高度敏感内容。CNIL在接获通报后启动调查程序,并最终认定该公司在履行数据处理者义务方面存在严重缺陷,作出对其处以170万欧元行政罚款的处罚决定。
二、核心事实认定
(1) 关于NEXPUBLICA公司相对于控制者的责任。虽然数据处理者需要遵循数据控制者指示,但根据GDPR的规定,其基于自身专业能力和合同约定,仍负有独立的提出并落实数据安全措施的法定义务。本案中,NEXPUBLICA虽为数据处理者,但是作为PCRM软件的托管维护方,仍需对承担软件的数据安全保障责任。
(2) 关于NEXPUBLICA 公司对其次级处理者的责任。案件中NEXPUBLICA公司作为数据处理者(processor)主张以业务外包给次级处理者(sub-processor)减免自己的责任,然而根据法律规定,处理者(processor)即便获得控制者对聘请次级处理者(processor)的授权,处理者(processor)仍需确保次级处理者(sub-processor)具备充分安全保障能力,且对自主选择的技术组件需承担安全审核责任,不能以“次级处理者或第三方技术问题”为由限制自身安全责任。所以该公司的责任不能因第三方参与而减免。
(3) NEXPUBLICA公司未能确保其所处理的个人数据安全。根据GDPR第32条规定,数据处理者应当实施适当的技术和组织措施来确保与风险相适应的安全水平。而经CNIL调查确认,两起数据泄露均由系统配置错误引发,其背后是企业未建立与数据风险相匹配的技术和组织保护措施。作为处理敏感健康数据的主体,其未针对数据敏感性制定专项安全防护方案和技术措施,违背了GDPR第32条规定的个人数据安全保障义务。
*引用法律:GDPR第28条;GDPR第32条
三、处罚与整改要求
(1)行政处罚170万欧元:NEXPUBLICA公司需在规定期限内缴纳170万欧元罚款,该罚款金额结合了数据泄露的严重程度、泄露数据的敏感性以及企业运营规模等多重因素,体现了 GDPR“过罚相当”的监管原则。
(2)专项整改义务:CNIL明确责令企业针对性强化PCRM平台的安全防护措施,要求其全面排查系统配置漏洞,建立常态化安全检测机制,避免类似配置错误再次发生。
*本文作者:魏冬冬、王姿懿
原文链接:
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053151799
声明:本文来自网络与数据法实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
