英国:ICO就数据保护不力向英国教育部发出谴责

阅读量173930

发布时间 : 2022-11-07 15:45:06

 

译 者 按

11月6日,英国信息专员办公室(下文简称ICO)向英国教育部(DfE)发出谴责,原因是教育部对其控制的存储学习记录的数据库(下文简称LRS)监管不力,导致多达2800万儿童的个人信息被长期滥用。

LRS数据库有多达2800万14岁以上儿童和青少年的个人信息,Trust Systems Software UK Ltd(交易名为Trustopia)公司在2018年9月至2020年1月期间访问了LRS数据库,并对22000名学习者进行了年龄验证的搜索。然而,英国教育部证实,Trustopia从未提供任何政府资助的教育培训。ICO的调查认为,由于DfE的尽职调查不力,导致学生的学习记录数据最终被Trustopia用来检查开设在线赌博账户的人是否满18岁。鉴于ICO于2022年6月宣布的一项针对公共部门的新方法(目的是减少罚款对公众的影响),本案将不对教育部处以罚款,但不影响此案的严重性。

关于儿童数据保护的更多内容,请见本公众号往期内容:

  1. 【域外动态】美国:FTC发布关于儿童数字广告治理的虚拟活动议程

  2. 【数据治理】儿童在线数据:美国FTC启动“返校季”儿童在线数据保护调查行动

  3. 【域外动态】欧盟EDPB:发布《无差别打击网上儿童性虐待对基本权利构成严重风险》的意见报告

  4. 【成果发布】全球主要司法辖区儿童在线保护概览

  5. 【域外动态】英国ICO专员发表关于“在线儿童保护”必要性的意见

  6. 【数据治理】美国加州拟借鉴英国《儿童适龄设计准则》出台更严格的儿童数据保护方案

英国教育部对学习记录服务数据库(LRS)负有全面责任。LRS数据库有多达2800万14岁以上儿童和青少年的个人信息。该数据库记录了全名、出生数据和性别,并有电子邮件地址和国籍的可选字段。它还记录了一个人的学习和培训成就。这些数据被保存了66年。

在漏洞发生时,有12600个组织可以访问LRS数据库,包括学校、学院、高等教育机构和其他教育机构。这是为了让组织能够验证一些功能,包括潜在学生的学术资格或检查他们是否有资格获得资助。

ICO经调查发现,当Trustopia告知教育部它是Edududes Ltd的新交易名称时,教育部继续允许Trustopia访问该数据库(Edududes Ltd曾是一家培训机构)。然而,Trustopia实际上是一家筛选公司,并将数据库用于年龄验证,他们向包括GB集团在内的公司提供这项服务,帮助赌博公司确认客户是否超过18岁。这种数据共享意味着这些信息没有被用于其最初的目的。这违反了数据保护法。

ICO同时对Trustopia进行了调查,在此期间,该公司确认它不再能够访问数据库,并且临时文件中的数据缓存已被删除。在ICO调查结束之前,Trustopia已经解散,因此无法采取监管行动。

英国信息专员John Edwards表示:“一个学生的学习记录数据库被用来帮助赌博公司是不可接受的,这是毫无争议的。我们的调查发现,教育部制定的程序是非常糟糕的。数据被滥用,而教育部甚至不知道有这个问题,直到一家全国性报纸通知他们。我们有绝对的权利期望我们的中央政府部门以最大的尊重和安全来对待他们持有的我们的数据,当涉及到2800万儿童的信息时更是如此。这是一个严重的违法行为,在这个具体案例中,本应被处以1000万英镑的罚款。我们已经决定不开罚单,因为任何支付的罚款都会返还给政府,所以影响会很小。但是,这不应该减弱我们所强调的错误的严重性,也不应该减弱教育部需要解决这些问题的迫切性。”

ICO在谴责中表示:

  • 英国GDPR第5 (1)(a)条要求“就数据主体而言,以合法、公平和透明的方式处理个人数据”。“基于这次调查的结果,ICO认为教育部未能公平、合法和透明地处理个人数据。存储在LRS数据库中的个人数据被分享给第三方,并在没有适当的合法基础和数据主体不知情的情况下进一步处理。

  • 英国GDPR第5(1)(f)条要求“处理个人数据的方式应确保个人数据的适当安全,包括防止未经授权或非法处理,以及防止意外丢失、破坏或损坏,使用适当的技术或组织措施‘完整性和保密性’。”根据这次调查的结果,ICO认为,教育部没有采取足够的措施来防止未经授权或非法访问LRS数据库。

同时ICO承认,自事件发生以来,教育部已经进行了一些内部审查。例如,取消了2600个组织对LRS数据库的访问,并加强了其注册程序。教育部还定期检查对数据库的过度搜索,并主动取消不再使用该数据库的组织的注册。

ICO进一步列出了教育部需要采取的明确措施,以改善他们的数据保护做法,使儿童的数据得到妥善的管理,具体措施包括:

1) 教育部必须采取措施,提高LRS数据库处理的透明度,以便数据主体了解并能够行使他们的数据主体权利,以满足英国GDPR第5 (1)(a)条的要求;

2) 教育部应继续定期审查所有内部安全程序,以确定任何可以实施的额外预防措施,这将减少此类事件再次发生的风险,并有助于遵守英国GDPR第5(1)(f)条的规定;

3) 此外,教育部应通过有效的沟通和提供明确的指导,确保所有相关工作人员了解因这一事件而产生的任何流程变化;

4) 为了更好地遵守英国GDPR第36条(事先咨询)和英国GDPR第35条(数据保护影响评估(DPIA)),在处理可能导致个人高风险的个人数据时,教育部应该完成一个彻底和详细的数据保护影响评估(DPIA),充分评估该处理所带来的风险。这将使DfE能够识别和减轻该处理对个人的数据保护风险;

5) 此外,教育部应继续确保向所有工作人员提供足够的数据保护培训。

本文转载自: 数据治理与竞争法研究

如若转载,请注明出处: https://mp.weixin.qq.com/s/9M17m4A_8iom-7fbIL8t0w

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66