4月初,WhatsApp一举向超过10亿用户推出端到端加密。几周前,《De Financial Telegraaf》周日版上发表了一篇文章,内容涉及 WhatsApp 和公司面临的新罚款风险(与《数据泄露通知法》有关)。 WhatsApp 端到端加密对隐私的具体影响是什么?这是否会降低公司被罚款的风险?现状如何?
WhatsApp 和隐私
WhatsApp 已经变得不可或缺。 90% 的荷兰人的手机上都装有该应用程序。近年来,WhatsApp 面临着很多隐私问题。该媒体经常被批评和斥为“隐私噩梦”并且绝对“不安全”。 2014 年 Facebook 收购其位于美国的服务器并没有让许多专家放心。
荷兰数据保护局最近建议医生不要使用 WhatsApp。议会被问及有关 WhatsApp 在医疗保健领域的使用的问题。 WhatsApp 不符合处理敏感个人数据的安全要求。部分原因是媒体自动存储在手机上。然后其他应用程序和自动云存储就可以访问该媒体。也不排除不小心使用电话的情况。第一批初创公司已经准备好填补这一空白。谁将是第一个提出终极“隐私保护”解决方案的人?
端到端加密
WhatsApp 并没有放弃,而且似乎越来越担心隐私问题。 WhatsApp 的条款和条件规定:“WhatsApp 尊重您的隐私”。最新的发展是端到端加密。这意味着消息、视频和电话现在已完全加密。任何人都可以通过将聊天的二维码与聊天所针对的用户的二维码进行比较来亲自检查这一点。如果二维码相同,则没有中间人拦截对话。
Whatsapp 聊天移动手
没有立即胜利
这种加密的通信仅对发送者和接收者可见。批评者正确地警告说,端到端加密并不一定意味着第三方无法读取对话。如果 iCloud 备份未加密或者有人有权访问该设备,则仍然可以访问消息。此外,据技术人员称,所使用的 SSL3 协议仍然容易受到攻击。
这意味着端到端加密似乎并不是 WhatsApp 的立竿见影的胜利。但这是朝着正确方向迈出的一步。 WhatsApp 现在似乎真的将其声明和条件中的文字转化为行动。现在你在许多大公司都看到了这一点。隐私是一种战略沟通工具,苹果和谷歌处于对抗联邦调查局的最前沿。如今,公司通过隐私政策脱颖而出。因此,这似乎是未来的CSR(企业社会责任)。
罚款风险较小?
通过 WhatsApp 进行的通信加密对于用户来说当然是个好消息。但这也能拯救企业吗?不。如果有人拥有密钥,加密数据仍然是个人数据。无论如何,发送者和接收者都有这个。因此,公司仍然必须处理《个人数据保护法》(Wbp) 以及其中实施的数据泄露报告义务。 WBP 表示,公司必须告知客户他们的个人数据会发生什么情况以及这些数据的用途。
Whatsapp 放大镜公司不仅会接收客户的个人数据,还会通过 WhatsApp 发送这些数据。公司如何处理所有这些数据?聊天日志是否保存在 WhatsApp 环境中?如果保存,保存多长时间?或者是否将数据复制到安全的 CRM 系统中并排除其他应用程序?哪些员工有权访问这些数据?
风险依然存在
可以想象,如果该服务(也)在移动设备上使用,公司面临的风险最大。有多少人的智能手机上有一个幼稚简单的四位数代码?数据仍然可能泄露,因此罚款的风险仍然存在。
合规性和一般数据保护条例
《App服务存在罚款风险》一文也表明,企业当然不必忽视WhatsApp。它涉及公司如何使用 WhatsApp 以及公司采取了哪些保护措施。例如,在那篇文章发表后,一家航空公司和一家银行等机构联系我们,询问他们如何合法地使用 WhatsApp 开展业务。免责声明就足够了吗?尽管它是“合规”(即符合法规)的重要组成部分,但免责声明当然不是唯一的补救措施。
在合规之路上,响应新的欧洲隐私立法:《通用数据保护条例》 (GDPR) 非常重要。 GDPR 最终于今年 4 月 6 日获得欧洲议会批准,详细规范了数据的处理方式。透明度和消费者选择自由是立法的基本原则。例如,根据新规定,如果数据是公司的核心业务,公司必须维护自己的“隐私管理”并任命一名数据保护官。
1551597_米
它现在是一个买家,但对于每家公司来说,它都是从提高意识和计划-执行-检查-行动原则开始的。不幸的是,大多数荷兰公司缺乏认识。在合规道路上仍需克服许多障碍。这需要大量的时间、精力,因此也需要金钱。
然而,如果您的公司因为没有采取必要的保护措施而被公开曝光,那么造成的破坏 乌干达电报数据 性后果会更大。我们还没有讨论 GDPR 生效(2018 年 4 月)后将适用的新罚款:1000 万美元或全球年营业额的 2%,或 2000 万美元或全球年营业额的 4%,具体取决于违规行为的严重程度。
行动要点
使用 WhatsApp 作为客户服务,您至少可以注意以下操作要点:
确定您提供并希望从客户处接收哪些数据
确定数据如何通过 WhatsApp 在您的公司中流动
确定该数据的访问方式(时长)以及访问对象
提前告知客户数据处理的目的
为您的客户提供查看、更改和删除数据的平衡选项
如有必要,请征求客户的明确许可
请勿索取超出您的服务所必需的信息
将所有内部和外部协议纳入您的政策和协议,包括您的隐私声明和信息安全政策
您如何看待端到端加密:这是朝着正确方向迈出的一步还是只是小菜一碟?