法国社会保障机构数据泄露事件

主要信息摘要

超过10000名法国社会保障机构CAF家庭津贴基金受益者的数据在近一年半的时间内遭到泄露。原因是一个包含私人信息的文件被发送给负责培训该机构统计师的服务供应商。虽然文件中的受益者姓名与邮政编码被删除，但其他敏感信息仍然可以识别受益者。

来源 Getty Images

[编者按：本文最早发表于Le Monde Informatique网站。]

超过10000名法国社会保障机构CAF的受益者在近18个月内数据遭到曝光。这是因为包含个人信息的文件被发送给了负责培训该组织统计师的一个服务供应商。错误在年底假期前被法国信息电台France Info发现，这个错误对CAF造成了重大影响。调查发现，加龙省NouvelleAquitaine的CAF将一份包含10204名受益者敏感信息的文件发送给服务供应商。

该服务供应商否认其要求使用真实信息，而加龙省的CAF似乎没有明确说明发送的数据包括当前受益者的信息。

在文件传输中，受益者的姓、名及邮政编码被删除，但许多其他信息仍然保留：地址门牌号及街道名称、出生日期、家庭组成及收入，所获津贴种类与金额如残疾人津贴等等。根据法国信息电台的调查，每一份文件夹中至少有181个变量可供使用。虽然删除了姓和名，但仍然可以识别出受益者，大部分身份均被调查记者查明。

另一个错误发生在CAF服务供应商方面，他们在2021年3月将该文件发布在其网站上，供培训使用。该文件对所有人，包括CAF工作人员及任何网站访客均可访问，且没有任何加密保护，用户只需单击下载即可。

在调查期间，该服务供应商辩称，他们并不知道CAF文件中包含真实的信息，并补充称他们之后忘记删除该文件，直到上周才进行清除。这一消息引起了数字权利倡导团体La Quadrature du Net的关注，该组织数月来关注CAF发布的受益者评分算法。

这次数据转移显然显示出CAF对我们的个人数据的漠视，或者说CAF管理者们对个人数据的某种占有感，他们似乎认为可以在没有任何理由的情况下将数据转移给私人供应商或者用于开发针对最脆弱群体的评分算法， La Quadrature du Net在其网站的评论中写道。

根据该评论，因此CAF似乎无视了匿名化个人数据的基本原则。妥善的匿名化需要更多的处理，以确保无法识别出与数据相关的个人。例如，必须删除或至少修改直接识别信息如出生日期和地址等。

免费加速器试用

法国数据保护机构CNIL很可能会对此事件展开调查，并可能最终对违反GDPR实施制裁。

另一方面，国家家庭津贴基金CNAF在接受法国信息电台采访时表示，“这些数据绝不应由服务供应商在线发布”，并强调该文件本应仅限于内部使用。因此，CAF加龙省将接受内部调查。