迪奥(上海)公司因为没守好用户的个人信息,被公安机关依法处罚了。

一是违规向境外传输个人信息,未通过数据出境安全评估、订立标准合同或通过保护认证。

二是未充分告知用户并取得“单独同意” ,违反《个人信息保护法》关于告知和同意的规定。

三是未采取足够安全技术措施,违反《个人信息保护法》关于安全技术措施的规定。

迪奥(上海)公司需要将其收集的我国大陆用户个人信息传输给位于法国的迪奥总部。这种将在我国境内收集的个人信息存储到境外服务器,或者提供给境外机构的行为,就属于“个人信息出境”。

我国法律对此有明确规定,企业必须遵守。

向省级网信部门申报数据出境安全评估,并通过国家网信部门的评估。按照国家网信部门制定的标准合同与境外接收方订立合同。按照国家规定通过专业机构的个人信息保护认证。

对于上述规定,迪奥(上海)公司一项都没做到。

在法律上,“单独同意” 要求企业在把用户个人信息提供给境外机构前,必须以显著方式、清晰易懂的语言明确告知用户以下信息:

境外接收方的名称和联系方式,个人信息出境的目的、处理方式,出境的个人信息类型、保存期限,用户如何行使自己的权利,以及用户如不同意,可能带来的后果。

然后,需要用户主动、明确地表示同意,例如勾选一个独立的选项,而不是隐含在长长的用户协议中。

迪奥(上海)公司没有履行这些告知义务,也没有获得用户的单独同意。

法律要求企业在处理个人信息时,应采取相应的加密、去标识化等安全技术措施,以防信息泄露、篡改或丢失。

加密就像给信息上了一把锁,只有有钥匙的人才能看到原始内容。去标识化则是隐藏掉能直接识别出特定个人的部分信息,降低信息一旦泄露后的风险。

迪奥(上海)公司没有采取这些必要的安全措施,这也是导致数据能被“未经授权的外部人员”获取的原因之一。

公安机关是依据《个人信息保护法》的规定进行的行政处罚。该法规定了严格的罚则:

责令改正,给予警告,没收违法所得。

违法处理个人信息的企业,最高可处以100万元人民币以下罚款。

对直接负责的主管人员和其他直接责任人员,最高可处以10万元人民币以下罚款。

情节严重的,罚款金额更高,可处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

令人不解的是,通报中没有公布对迪奥公司是如何处罚的,难道这涉密吗?

此外,这次事件也给所有企业提了个醒,收集了用户的个人信息,就要负起保护好的责任,尤其是在需要出境时,必须遵守中国的法律法规。

同时,我们每个人也要更关注自己的个人信息安全,在提供信息时多留个心眼。