法国国家信息与自由委员会对某电信运营商作出处罚决定

　　【预警资讯】

　　2026年1月13日，法国国家信息与自由委员会（CNIL）对某移动通信公司和某电信服务提供商分别处以2700万欧元和1500万欧元的罚款，总计4200万欧元。此前，在2024年10月，攻击者成功入侵了两家公司的信息系统，获取了2400万份用户合同的个人数据，其中包括同时是两家公司客户的用户的国际银行账号（IBAN）。CNIL的调查发现，两家公司在确保用户数据安全方面存在多项违规行为。具体而言，两家公司未能充分履行《通用数据保护条例》（GDPR）第32条规定的数据安全保障义务，其VPN连接认证程序不够健壮，且信息系统异常行为检测措施无效。此外，两家公司在数据泄露发生后，未能按照GDPR第34条的规定，向受影响的个人提供全面、必要的信息。针对某移动通信公司，CNIL还发现其违反了GDPR第5-1-e条规定的数据保留期限限制义务，未经正当理由长期保留了数百万前用户的个人数据。CNIL已责令两家公司在规定期限内完成安全措施的强化和数据清理工作。（资讯分类：境外，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：法国国家信息与自由委员会官方网站）

　　【要点提示】

　　建议在境外开展业务的电信及相关服务企业关注如下要点：一是持续强化数据安全防护体系，特别是针对远程访问（如VPN）的认证机制和信息系统异常行为的监控与检测能力，以有效抵御日益复杂的网络攻击。二是严格遵守数据泄露通知义务，确保在发生数据泄露事件时，及时、准确、全面地向受影响的个人告知事件详情、潜在风险及可采取的保护措施，以履行透明化原则并降低用户损失。三是建立健全数据生命周期管理机制，定期对所持有的个人数据进行审查和分类，确保仅在实现特定目的所必需的期限内存储数据，并对超出保留期限的数据进行及时、彻底删除，避免因不当长期存储而引发合规风险。

　　2026年3月12日  第153期