【安全圈】德国重罚沃达丰5100万美元：数据隐私和安全双双失守！

德国联邦数据保护与信息自由专员（BfDI）近日宣布，对知名电信巨头Vodafone GmbH（沃达丰德国子公司）开出总计4500万欧元（约合5140万美元）的重磅罚单，原因涉及严重的用户隐私泄露和安全漏洞。

这也是德国近年来对数据安全领域开出的最大罚单之一，凸显了监管层在数据保护方面的强硬立场。

两大违法行为：客户信息被滥用，eSIM系统易被入侵

BfDI表示，此次处罚主要针对以下两方面的违规行为：

1. 
   

   第三方代理造假合同、篡改客户信息
   沃达丰与外部合作的代理机构中，部分员工伪造合同、私自篡改客户数据、诱导签署虚假合约，严重侵害消费者权益。对此，监管方对沃达丰罚款1500万欧元，原因是其未对代理机构履行有效监督职责。

   
   

2. 
   

   “MeinVodafone”应用及客服热线认证系统存在重大漏洞
   攻击者可利用认证缺陷非法访问客户的eSIM资料，造成用户身份和通信数据的潜在泄露。因此，BfDI追加处罚3000万欧元，直指沃达丰未能保障平台技术安全。

整改配合良好，但问题本可避免

尽管问题严重，德国联邦数据保护专员 Prof. Dr. Louisa Specht-Riemenschneider 表示：“数据泄露必须承担后果，但更重要的是推动企业未雨绸缪，杜绝问题发生。我也希望能让企业具备合规能力。”

她指出，沃达丰在整个调查过程中“全程积极配合，并主动披露了不利于自身的细节”，表现出一定的责任意识。

目前，沃达丰已对部分系统进行了更新替换，并加强了对合作机构的甄选与审计机制，果断终止与涉及欺诈的代理合作。

此外，沃达丰已缴纳全部罚款，并向多个组织捐赠数百万欧元，用于推动数据保护、提升媒体素养和打击网络欺凌等社会公益项目。

电信巨头也难逃数据监管高压线

沃达丰作为全球电信巨头，在15个国家服务逾3.3亿用户，在非洲地区的金融科技业务也覆盖8300万用户。这样一家跨国公司出现如此大规模数据与系统安全问题，表明即便是巨头，在隐私合规方面也难有“豁免权”。

结语

随着各国数据保护法规愈发严格，从《通用数据保护条例（GDPR）》到各地本地化监管制度，企业如未对合作链条、平台系统和员工行为进行严密把控，极有可能付出巨额代价。