法国国家信息与自由委员会对某旅游公司作出处罚决定

　　【预警资讯】

　　法国国家信息与自由委员会（CNIL）于2026年1月29日发布对某旅游公司处以500万欧元的处罚决定，原因是其未能确保求职者数据的安全。调查显示，攻击者在2024年第一季度通过社会工程技术入侵了该旅游公司的信息系统，冒充顾问账户，获取了过去20年内所有注册或曾注册的求职者以及在该旅游公司官网上拥有候选人空间的人员数据，包括社会安全号码、电子邮件和邮寄地址以及电话号码。CNIL的审查发现，该旅游公司在确保个人数据安全方面实施的技术和组织措施不足，具体表现为顾问访问信息系统的认证方式不够健壮，日志记录措施不足以检测异常行为，以及顾问账户的访问权限设置过于宽泛，导致攻击者可访问的数据量增加。CNIL已责令该旅游公司在规定期限内提交纠正措施证明，否则将面临每日5000欧元的罚款。（资讯分类：境外，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：法国国家信息与自由委员会官方网站）

　　【要点提示】

　　建议企业关注如下要点：一是持续强化数据安全保障体系建设，确保个人数据处理符合《通用数据保护条例》（GDPR）等相关法律法规要求，尤其是在身份认证、日志审计和访问控制方面应采取更为严格的技术和组织措施；二是定期对信息系统进行安全审计和风险评估，及时识别并弥补潜在的安全漏洞；三是严格执行最小权限原则，对员工账户的访问权限进行精细化管理，确保其仅能访问履行职责所需的数据，以降低数据泄露的风险。

　　2026年3月12日  第154期