X

Grab两年来第四次侵犯隐私,低罚款,会让公司有悔意吗?

在过去的八年中,新加坡的Grab已从Uber和Lyft的乘车共享服务的区域克隆发展成为一家市值140亿美元的多元化科技公司。近年来,Grab加入了电子钱包和送餐服务,目前已经扩展到东南亚大部分地区,并提出了一旦盈利就上市的想法。然而,该公司面临着许多挑战,其中最重要的是过去两年发生的一系列隐私泄露事件。

在最近的一次违规行为中,约有21500名Grab用户和驾驶员的个人信息因技术错误被短暂曝光。作为一个孤立的事件,它可能不值得太多关注,但它是一系列违规的一部分,可以追溯到2018年。考虑到Grab在这些违规行为的罚款方面付出的很少,它可能没有动力去妥善处理。


Grab侵犯隐私的历史


Grab的最近隐私泄露事件发生在2019年8月,使GrabHitch拼车服务的数万用户暴露在外。据新加坡个人数据保护委员会(Personal Data Protection Commission,PDPC)称,该漏洞与一个漏洞更新有关,该漏洞更新使一些用户的私人资料信息可以在大约一个小时内被其他人查看。被曝光的信息包括个人资料照片、姓名、钱包余额、乘车支付记录和车牌号。


PDPC对GrabCar处以10000新元(合7300美元)的罚款,并命令该公司制定“设计数据保护”的政策。尽管考虑到公司的规模,这笔罚款肯定是偏低的,但如果单独考虑这一事件,这笔罚款似乎是对相对有限的侵犯隐私行为的合理惩罚。然而,鉴于该事件并非孤立的,而且似乎符合近期未能实施充分检测和预防措施的模式,PDPC在监管公司方面发挥了更积极的作用。


PDPC副专员Yeong Zee Kin在一份声明中说:“鉴于该组织每天处理大量涉及个人数据的业务,这是一个令人担忧的重大问题。”该机构发现,Grab没有“适当的安全措施来防止对个人数据集的任何损害”,并且在部署错误的更新之前没有“进行适当范围的测试”。该决定没有具体规定“设计数据保护”政策应包含的内容,但要求必须在120天内到位。该政策将要求公司证明,用户隐私和安全已在应用程序设计层面得到考虑和实施。


Grab先前的两次隐私泄露事件发生在2019年6月。其中一次泄露事件中,该公司发出了100000多封包含客户名称和手机号码的营销电子邮件,并被罚款16000新元(合11700美元)。在另一起事件中,一些GrabHitch司机被发现在社交媒体上披露了该服务的一些乘客的个人信息。该公司没有因后一事件受到处罚。


第一次侵犯隐私事件发生在2018年10月,当时Grab被处以6000新元(合4400美元)的罚款,原因是他在谷歌表格调查中未经授权泄露了GrabHitch司机的个人数据。


Grab的安全防护会得到改善吗?


Grab虽然还没有盈利,但预计2019年的年收入已达到20亿美元。四项违规行为的罚款总额为32000新元(合23400万美元),该公司仅损失了其营业日收入的0.5%,这是否会促使该公司关注数据安全?


虽然新的最后通牒要求公司在设计层面实施安全措施是一种更有力的措施,但它似乎非常模糊,很难消除未来发生类似隐私泄露的可能性。如果他们发生数据违规,该公司会不会再被处以一笔微不足道的罚款?


我们有可以做更多事情的工具——新加坡的《个人数据保护法》是亚洲最健全的数据保护法规之一。根据该法,侵犯隐私事件的组织可被处以最高100万新元的罚款,甚至有可能被监禁(尽管本文描述的案件不太可能达到如此极端的程度)。但今年5月提出的修正案将把最高罚款从100万新元提高到机构年收入的10%。


Grab还在尝试获得新加坡的银行执照。它已经向该国服务不足的市场提供消费贷款和理财服务,并正在吸引投资者,希望成为一家能够提供用户账户的成熟银行。该公司希望与友邦保险(AIA Group Limited)和保诚集团(Prudential PLC)合作,并一直希望能在10月份达成协议。这将使该公司受到更严格的数据保护和隐私法规的约束。


*本文出自SCA安全通信联盟,转载请注明出处。