在一次“流程失败”中,来自英国的数据在Equifax公司之间传递了5年
上周五晚些时候,Equifax英国分公司透露,英国有多达40万人“可能”受到了美国这一巨大安全漏洞的影响。这家美国公司系统的一个缺陷暴露了可能有1.43亿人的数据。
该公司英国分公司Equifax Ltd在一份新闻声明中表示,该公司“遗憾地”发现,当其中一份来自英国的文件被转移到美国时,人们的信息可能被窃取。这个文件在被黑的系统上。
在这40万名客户的数据中,有个人姓名、出生日期、电子邮件地址和电话号码。Equifax表示,从英国转移到美国的信息中不包括物理地址、密码和财务数据。
该公司在声明中解释称,“由于流程故障”,英国客户数据在美国存储了5年。这个问题直到2016年才得到纠正,但自2011年以来就一直存在。但为什么数据共享过程会中断五年呢?
东安格利亚大学(University of East Anglia)法学高级讲师保罗•伯纳尔(Paul Bernal)表示:“这件事首先表明,他们既没有认真对待人们的数据,也没有认真对待相关法律。”“他们有五年没有对程序进行审查了吗?”这充其量就是粗心大意。”
英国数据保护监管机构——信息专员办公室(Information Commissioner"s Office)在一份声明中表示,该机构一直在“敦促”Equifax计算出有多少人在使用该软件,并正在调查“数据泄露的性质”。
《连线》联系了Equifax,希望得到更多评论,但该公司只向我们提供了其最新声明。
直到2015年底,从欧洲企业到美国的数据共享都受到《安全港协议》的监管和保护。然而,欧洲最高法院裁定这是无效的,并在2016年被Privacy Shield取代。
这家美国出口机构将Equifax列为2012年年中至2017年期间遵守安全港规定的公司。这是在英国消费者数据清单与美国共享的时期之后。此外,Equifax也没有被列入隐私保护名单的认证公司。
Access Now欧洲政策经理范妮•希德维基(Fanny Hidvegi)表示,目前还不清楚Equifax所谓的“流程失败”是什么意思。她表示:“在我看来,(Equifax的)安全港认证表明,这不是一个过程失败,而是一个有意识的选择。”“在那个日期之前和之后,美国数据处理的法律依据是什么?”
伯纳尔说,许多公司签署了《安全港协议》,这是一个程序问题。他表示:“如果有许多其它公司也面临类似情况,我一点也不会感到惊讶。”“我怀疑他们对艾奎法克斯发生的事情有那么大的警觉。人们对这种事情有很多自满情绪。”
他表示,未来英国和美国都应该采取“严肃的监管行动”,“承认这不太可能只是一个‘烂苹果’问题,而是一场即将发生的事故”。