五分钟跨境案例解读-帮你规避百万美金罚款与法律风险!
近日,中国快时尚平台Shein(希音)和Romwe(葇薇)的母公司Zoetop Business Company, Ltd.(卓天商务有限公司)与纽约州Office of Attorney General (OAG,总检察长办公室)达成协议,将向纽约州支付190万美元的罚款,原因是该公司未能妥善处理其波及全球数千万消费者个人信息的泄露事件,并谎报了数据泄露的严重程度,例如最初报告称只有642万个Shein账户在黑客攻击中暴露。此次罚款是OAG对2018年的一次黑客攻击进行调查后作出的。
2018年,Zoetop遭受网络攻击,攻击者窃取了某些Zoetop客户(包括SHEIN购物者)的信用卡信息和个人信息,包括姓名、电子邮件地址和散列账户密码。该数据泄露事件影响了3900万Shein和700万Romwe账户,其中包括属于纽约州居民的80多万个账户。OAG调查发现Zoetop在得知黑客攻击后,该公司只联系了部分受影响的客户,没有为任何账户重置密码,也没有提醒客户其登录凭据已被盗取。不仅如此,根据相关诉讼文书的披露,Zoetop还未能在以下几个方面维持合理的安全措施来保护客户数据:第一,2018年网络攻击事件之前,Zoetop使用当时已知不足以抵御攻击的算法对客户密码进行保护;第二,Zoetop错误地配置了其系统,将某些交易的信用卡信息以纯文本形式存储在调试日志文件中,这种做法安全性较低,黑客更容易访问。在违规发生时,Zoetop未能执行扫描以确定其系统上持卡人数据的存储位置;第三,Zoetop没有定期进行外部漏洞扫描,也没有定期监控或审查审计日志以识别安全事件。由于该公司此前并未针对网络攻击制定全面的数据风险应对计划,根据协议,Zoetop除了缴纳罚款外,还必须建立并维护一个全面的信息安全计划,其中包括客户密码的强大散列、可疑活动的网络监控、网络漏洞扫描以及需要及时调查、及时通知消费者和提示密码重置的事件响应策略。Zoetop发言人也对此表态:“保护我们客户的数据并维护他们的信任是重中之重,尤其是在全球企业面临持续网络威胁的情况下。”
美国相关法律对数据信息安全有着严格规定。美国目前有总计多达几十部的联邦法及州法对个人数据信息提供保护,例如联邦贸易委员会法案(The Federal Trade Commission Act, FTC Act)、公平信用报告法 (The Fair Credit Reporting Act, FCRA) 、儿童线上隐私保护法(Childrens Online Privacy Protection Act, COPPA)、加利福尼亚消费者隐私法案(California Consumer Privacy Act, CCPA)、弗吉尼亚州消费者数据保护法(Consumer Data Protection Act, CDPA)。同时,美国联邦贸易委员会是美国联邦层面法定数据信息保护及防止消费者数据信息被不公平或欺骗性使用的机构。在美国各州,各州政府的相关机构或州总检察长办公室负有保护个人数据信息安全的职责。由Zoetop一案我们可以看到,在美国发生数据违规可能产生的数据较大的罚金。罚金的具体金额往往会根据不同州和违规事实有所不同。例如,健康保险可携性及责任法案规定罚金从100美元到5万美元不等,纽约州金融监管部门在2021年初的执法过程中开出的一笔罚金也高达150万美元。
有鉴于此,面对监管企业在发生数据风险甚至数据违规事件时如何及时响应、补救极其重要。首先,企业应当知晓,根据美国法律规定,发生数据违规必须上报美国数据保护监管机构,比如在联邦层面,健康保险可携性及责任法案要求相关企业必须向美国卫生及公共服务部上报未经许可的数据信息披露。在州层面,一些州法要求企业向相关管理部门或者州总检察长办公室上报数据违规情况。其次,发生数据违规必须通知受影响的个人。在联邦层面,健康保险可携性及责任法案要求企业必须及时将数据违规情况通知受影响的个人,任何情形下该通知均不得迟于60天。截至2021年5月,美国50个州以及哥伦比亚特区的相关法律均要求企业根据各州法律规定及时通知个人数据违规情况。任何个人数据信息的泄露都会触发该州相关法律的管辖,如果涉及不同州的居民,则同时触发所涉及的每一个州的法律管辖。
电商品牌的销售网络属于易受黑客攻击群体,出境商家的网络安全措施不仅应包括制定数据安全管理规范,细分数据风险节点加强网络安全措施,更应做好预练预演,提升应对数据风险事件的能力和水平。作为经营管理者只有增强网络防范意识才能为品牌出海铺平前路。
我们建了一个亚马逊卖家交流群,里面不乏很多大卖家。
现在扫码回复“ 加群 ”,拉你进群。
热门文章
*30分钟更新一次
