【猎云网(微信:ilieyun)】8月16日报道(编译:福尔摩望)
Uber创始人Travis Kalanick追求快速、宽松的管理风格仍然影响着这家深陷性骚扰丑闻中的创企。
今天,这家网约车服务巨头与联邦贸易委员会(FTC)在数据处理不当上进行了和解。Uber在隐私和安全方面的投诉还要追溯到2014-2015年,今天的和解表明该公司隐晦的承认了FTC的调查。
FTC表示,Uber已经同意制定一个全面的隐私计划,包括进行定期的独立隐私审计。
按照FTC的要求,这一审计时期将达到20年。
在其起诉书中,FTC引用了2014年Uber所谓的“上帝视角”实时界面的新闻报道,这一交互界面可以让其员工对用户进行监视。而Uber当时声称自己拥有严格的政策规定,禁止任何级别所有员工访问司机或乘客的数据,并会严格监督和审核该政策。
起诉书中指出:“虽然Uber表示会坚持这样政策,但是自2014年11月以来,Uber并没有严格监督和审核员工是否访问了司机和乘客的账户。2014年12月,Uber开发了一种自动化系统,用于监测员工是否访问消费者的个人信息,但是该系统无法有效的遏制数以千计的员工和临时工长期的获取相关数据。”
FTC还指控Uber没有进行后续的自动化监控系统开发:“从2015年8月到2016年5月,Uber并没有跟进自动化监控系统的开发,而且在这一时期的前6个月中,Uber只监控了是否有员工访问内部高管的账户个人信息。在此期间,除非有员工举报有人进行不当访问,Uber并没有监控是否有人访问个人信息。”
起诉书中还详细列举出了Uber在数据安全方面的问题。FTC认为,虽然Uber的隐私政策宣称消费者的个人信息会被“安全的存储在我们的数据库中”,虽然其客户服务代表频繁的对外宣传Uber的安全措施,但是该公司却并未提供合理的安全性,来防止未经授权的访问行为。”
FTC在起诉书中列举了Uber的安全漏洞:
- 要求使用不同的访问密钥,“但是相反,所有的项目和工程师都使用单个的AWS访问密钥,该访问密钥拥有Amazon S3 Datastore中所有数据的完整管理权限。”
- 要求基于员工的工作职能限制访问权限
- 要求访问Amazon S3 Datastore时进行多因素身份认证;
根据FTC,Uber直到2014年9月左右才开始实施“合理的安全培训和指导”。也就是说,在那之前Uber甚至都没有一个书面的信息安全计划。
FTC指控Uber一直到2015年3月左右,还在Amazon S3 Datastore中以清晰可读的文本形式存储敏感的个人信息,而不是加密信息。
FTC认为,这家融资总额已达88.1亿美元的公司,本可以通过“相对较低成本的措施”来“预防或减少”各种安全漏洞。相反,由于未能给消费者个人信息提供合理的安全性保障,Uber用户面临着“严重的风险问题”。
FTC还指出,Uber的各种安全漏洞也直接导致了数据的泄漏。
2014年5月,一名黑客使用工程师发布在GitHub上的访问密钥,进入了Uber Amazon S3 Datastore获取了纯文本形式的消费者个人信息。在此期间,一共有超过10万份Uber司机的敏感个人数据遭到泄漏。
根据FTC,Uber直到2014年9月才发现该漏洞的存在。
FTC要求禁止Uber在关于如何监控或审计内部访问个人信息和多大程度上保护用户隐私上进行“虚假陈述”。
Uber已经同意实施的强制性隐私计划必须以书面形式记录下来,包括“合理的控制和程序规模与复杂性,活动的性质和范围,个人信息的敏感性以及合理的控制和程序来解决相关风险,并定期监测其有效性。”
此外,按照FTC的要求,Uber还同意了由独立专家进行的外部隐私审核。初步评估将在诉讼后的180天内,未来20年中将每两年进行一次。
FTC还要求Uber提交年度的合规性报告,如果出现伪证将会受到惩罚。
该公司还同意创建长达20年的消费者投诉记录,并将相关记录留存5年。
Uber发言人对FTC的要求作出了回应:“我们很高兴能够结束FTC的调查。相关投诉日期可以追溯到2014年。从那时起,我们就大大加强了我们的隐私和数据安全措施,并将继续保持。2015年,我们聘请了第一位首席安全官,现在我们已经拥有数百名受过专业培训的专业人士来保护用户信息。这份和解方案也给我们提供了与FTC合作的机会,我们彼此之间将会进一步确保能够保护用户隐私和个人信息。”
FTC表示,发出行政投诉和接受Uber的和解协议是一致的,当有理由相信出现违法行为时,它会继续发出行政投诉,保障公众利益。
很快,联邦公报上将会公布和解协议一揽子方案的说明,并从今年开始的30天内公开征求公众意见,之后再决定是否作出最终的和解方案。
最终颁布的FTC同意书对未来的行为具有法律效力,每违反一项要求,可能会导致最高40654美元的民事罚款。