2017年5月13日，黑客攻击了Equifax Inc.的软件平台，并访问了美国和加拿大1.43亿+ Equifax客户的敏感个人信息。只有在更新过期的安全证书后，才会在黑客初次进入后四个月内发现该漏洞。黑客访问了数百个Equifax Inc.数据库中数百个数据库表中的个人信息。尽管Equifax Canada的服务器与Equifax Inc.的系统是分开的，但Equifax Canada的安全政策和监督通常由Equifax Inc.管理。

隐私专员的报告

隐私专员发布了一份关于调查此违规行为的调查结果报告。该报告涉及违规的各个方面，特别是与Equifax Canada实施的安全保障有关的方面，包括其监督机制，漏洞管理和信息安全实践的实施。

该报告强调了针对任何公司的网络违规计划的几个教训。

安全保障

鉴于Equifax持有的个人信息的敏感性，专员对各种数据安全保障进行了详细调查，以确定安全保障措施是否足够强大。

Equifax Inc.持有加拿大人的各种类型的个人信息，包括支付卡信息，账户信息(包括用户名，密码和社会保险号)，以及完整信用报告和信用警报的副本。专员发现，总的来说，这些信息是敏感的，可能导致身份盗用和/或声誉受损。专员认为，为了遵守联邦隐私法，此类敏感信息需要Equifax Inc.提供更高的安全保障。

Equifax Inc.检测到该攻击，因为它更新了过期的安全证书。此更新允许黑客的可疑流量最终被注意到(请注意，Equifax第二天包含攻击)。专员发现，所有安全功能都需要及时更新，以确保更好地管理漏洞。

专员还评论了有意义地隔离网络以确保计算机网络不同部分之间信息流量有限的必要性。在这种情况下，需要更安全的方法来确保欺诈的检测，从而允许更有意义的网络隔离。

数据治理实践

数据治理通常意味着管理数据访问和使用的规则。在这种情况下，专员评论了“基本保护方法执行不力”。

从专员的角度来看，善治实践的一些经验教训包括：

知道谁在涉及个人信息时保存和修改文件;

安全地存储员工和客户的用户名和密码;

保持生产数据与测试数据分开;

培训员工妥善处理个人信息;

保持安全证书的更新;和，

符合要求的认证标准。

专员指出，“各个安全领域的政策和做法之间存在明显的脱节，这表明Equifax Inc.的安全计划存在重大差距，因此监督机制不足”。这意味着需要一个全面而全面的问责制框架，特别是在存放敏感的个人信息时。

专员还强调，当第三方处理组织的个人信息时，需要采取适当的监督做法。组织需要定期确保第三方履行保护个人信息的义务。记录这些实践是网络准备审计的关键。

保留记录

尽管Equifax Inc.已制定了记录保留政策，但它确认其没有删除加拿大个人信息的程序。自2010年以来，没有任何加拿大人的个人信息被删除。这被认为是一个重大缺陷，因为它意味着Equifax在删除此类信息时存储过时和重复的信息。在包括欧盟和加拿大在内的多个司法管辖区，都需要删除不再需要的个人信息，以便提供收集信息的产品或服务。

事实上，该公司指出，它打算制定更符合欧洲通用数据保护条例2016/679的销毁做法，但这些努力仅限于欧洲居民的个人信息。

报告还强调了与保留政策和监督其遵守情况有关的工作人员缺乏足够的知识和意识。从专员的角度来看，这是有问题的。一个重要的经验教训是确保员工接受所有数据安全策略的培训，记录此类培训，并在整个公司内部更新和应用策略。

数据共享协议

专员评论说，与第三方就如何处理个人信息缺乏正式的书面安排。这些安排应定期更新，并在关系发生重大变化时更新。

据专员介绍，安排应讨论：

第三方正在处理的个人信息;

处理个人信息时需要遵守的规则，规定和标准;

与信息安全和保留/破坏有关的义务;

可接受的个人信息使用;和，

报告和监督义务。

披露与使用

Equifax违反行为导致专员发出政策重大变化的信号。报告的结论是，从组织转移到关联公司或第三方供应商处理的个人信息被视为向第三方组织披露而非使用。

这很重要。

现在可能会出现一种新的期望，即附属组织(例如Equifax Inc.和Equifax Canada)之间的数据传输应被视为第三方披露。这意味着联盟组织不再能够依赖于基于其内部策略的个人信息，而是需要展示强大的问责制框架，正式的书面合同以及它们之间的充分数据治理实践。鉴于数据的流动性，特别是附属实体之间的流动性，这是否真的很实用?

同意

最后，专员发现从Equifax Canada向Equifax Inc.转移个人信息需要有意义的同意，包括与位于不同国家的第三方有关的信息以及相关风险：

[...]我们认为，即使是在违规时仔细审查个人可用的隐私政策和使用条款的个人也无法理解Equifax公司正在收集他们的信息，无一例外。 ，在美国，立即生效。他们也不会理解Equifax Canada随后会向Equifax Inc.披露重要的进一步信息，或者在此类披露发生之前不会提供进一步的细节或寻求同意。鉴于收集和披露敏感个人信息的程度，我们认为，在这种情况下，这种明确性是明确的

总之，Equifax Canada未充分明确：(i)Equifax Inc.在美国收集敏感个人信息，(ii)随后向Equifax Inc.披露敏感个人信息，以及(iii)选项适用于不希望以这种方式披露其信息的个人。

专员评论说，信息的敏感性和个人的合理期望使得有义务获得有意义的同意

标签：