摩根士丹利 650 万美元数据泄露和解案

摩根士丹利 650 万美元数据泄露和解案

Kaamel Lab
Kaamel Lab 2023年11月22日

2023 年 11 月 16 日,摩根士丹利就两起泄露数百万客户个人数据的事故,与康涅狄格、佛罗里达、印第安纳、新泽西、纽约、佛蒙特六个州的总检察长达成 650 万美元和解。两起事故的共同教训是:数据泄露未必来自黑客攻击,退役硬件时供应商监管失位和设备丢失同样会酿成大规模泄露。

TL;DR

两起事故的经过

第一起事故涉及两个数据中心的退役。摩根士丹利与一家没有数据销毁经验的供应商签约,协助销毁数千个硬盘和计算机中的用户数据,其中含数百万客户的个人信息。该供应商又把部分工作转包给一家未经授权的公司,导致部分设备在”销毁”后仍残留用户数据。这些设备随后被拍卖售出,直到买家发现数据并致电公司,摩根士丹利才知情。第二起事故中,公司在退役过程中发现 42 台计算机丢失,可能含未加密的客户信息——原因是本地设备使用的加密软件存在制造缺陷,部分数据实际未被加密。两起事故上报后,六州总检察长展开调查,认定摩根士丹利未能有效退役设备并删除数据、未能维持适当的供应商安全控制。数据泄露发生后的应对流程可参考数据泄露之响应篇

和解要求的整改措施

除支付 650 万美元罚款外,摩根士丹利同意采取一系列措施保护消费者个人信息:维护并按需更新全面的信息安全计划,保护个人信息的安全性、保密性与完整性;维护记录事件与应对措施的事件响应计划;制定规范个人信息收集、使用、保留和处理的书面政策;对所有个人信息在存储和传输过程中一律加密;用手动流程加自动化工具追踪所有含个人信息硬件的位置;维护供应商风险评估团队,确保供应商符合其数据安全要求。这套要求与其他州级数据安全执法的整改口径一致,可对照安防公司 Verkada 就数据安全漏洞与 FTC 达成 295 万美元和解

两条被忽视的风险线

摩根士丹利案暴露出两条常被忽视的风险线。其一是供应商管理:企业在选择和管理处理敏感数据的供应商时必须极为谨慎,本案泄露部分源于未能有效监控供应商履行数据删除义务,即便供应商依合同承担部分赔偿,企业声誉损失也难以挽回。其二是硬件处置中的数据删除:淘汰或转售旧设备时,必须确保数据被彻底且安全地删除,对含敏感信息的设备实施严格处置流程。加密缺陷则提醒企业,加密不能只在纸面上”已启用”,还需验证其在设备层面真正生效。类似规模的用户数据泄露可参考Weee! 泄漏 110 万用户数据

对出海企业的启示

对处理大量客户资产与个人信息的金融及科技企业,这起案子给出清晰提示:数据生命周期的”末端”——设备退役、数据销毁、硬件转售——与采集、存储环节同样是合规重点,且往往是审计盲区。落地上应把供应商数据处置纳入合同与持续监控,要求可核验的销毁证明;对所有含个人信息的硬件建立位置台账;把加密作为默认项并定期验证其实际有效性;同时维护书面的信息安全计划与事件响应计划,以便在事故发生时快速止损、依法上报。

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.