滴滴之后，Uber再度陷入数据安全风波。

网安的舆论漩涡的中心依旧是数据安全，这一点从近期种种合规行动中可见一斑。其中，出行行业由于其涉及庞大的用户数据、地图数据，成为数据安全的又一焦点聚集地。

回到今天的主角，Uber。由于一件数据泄露“陈年旧案”，Uber第四次遭到了安全控告。

出行行业再陷风波，Uber被控违反隐私法

7月23日，澳大利亚信息专员办公室(Australian Information Commissioner，OAIC)发布了一份关于其对Uber 2016年极具争议的违规事件的调查报告，确认Uber侵犯了超百万澳大利亚人的隐私。

2016年，有黑客成功入侵Uber数据库并窃取5700万全球用户和司机的数据。泄露的数据包括Uber客户的姓名、电子邮件地址和电话号码，以及 700 万司机的个人信息和 60 万个驾照号码。

然而，Uber并未第一时间通知那些数据泄露的受害者，反而支付价值10万美元的比特币给黑客作为“封口费”。

2017年底，该数据泄露事件才被曝光。

同年12月，Uber向OAIC报告该事件。

针对上述事件，OAIC表示，Uber的违规行为包括：没有采取合理措施保护个人信息免受未经授权的访问，也未删除或去识别化那些不再需要的基于特定目的的个人信息。不过，由于暂时没有受害人对Uber此次数据泄露事件进行投诉，因此无权要求Uber进行罚款赔偿。

虽然暂不需要针对受害用户进行赔偿，但是Uber还是被要求建立一项信息安全计划，并设专人负责。该计划需有能力识别澳大利亚用户信息面临的安全性、完整性风险，比如信息丢失、被未经授权访问等。它还要求对员工进行培训。

Uber对此在一份声明中说：表示它们已经进行了技术更新，包括为其核心乘车业务信息系统获得ISO 27001认证，以及更新了其内部安全政策，并将与第三方评估机构合作，实施进一步的改变。

"对2016年数据事件的这一决议。我们将从错误中学习，并重申我们的承诺，继续赢得用户的信任"。

数据流动引起多方面制裁

值得关注的是，Uber早在2018年就因该事件受到了来自美国、英国和荷兰的处罚。

• 在美国，Uber与50个州和哥伦比亚特区的总检察长达成了1.48亿美元的和解，并且承诺之后的数据处理将更加透明。
• 在英国，Uber被罚款385,000英镑(约529,000美元)。并且，荷兰的数据保护机构也对Uber罚款60万欧元(约70.7万美元)，因为它没有在72小时内对此事件进行报告。

Uber“四处受罚”的原因是由于其全球性的结构。在不同的当地法律下，其所触犯的法规、所遭受的处罚也不相同。

因此，在OAIC控告其违反澳大利亚《隐私法》时，Uber曾辩称，它并不受该法的约束，因为它已将澳大利亚人的个人信息转移到美国。

然而，现公布的报告让Uber认清了澳大利亚《隐私法》要求：当澳大利亚人向一家公司提供个人信息时，他们会受到《隐私法》的保护，即使这些信息在公司集团内被转移到海外。

Uber在美国遭受处罚

如今，数据已经成为全球最为关注的技术相关要素之一，其重要性也在个人、企业、政府等各方面所体现。我们享受数据带来的便利太久，却还未对其背后的安全风险有足够的重视。即便《数据安全法》将于今年9月开始施行，不少企业对于数据安全的概念仍旧停留在如何通过审查，而不是如何保护数据。更何况，光有企业的努力是远远不够的，个人的数据安全意识也有待提升。

此外，出海企业拥有特殊的全球性结构，其数据流动需根据其流动范围，基于当地的数据相关法律并采取相关措施，确保出海数据的安全能够得到保障。避免像Uber一样，面临多地的处罚。

鸿蒙官方战略合作共建――HarmonyOS技术社区