德国宽带提供商1&1因身份认证缺陷被罚955万欧元

7月份，本公众号曾总结了《数据安全大额罚单一览》，而就在昨天，2019年12月9日，德国BfDI（联邦数据保护与信息自由专员办公室）向宽带运营商1&1开出一张955万欧元（折合人民币大约7449万元）的罚单。

到底是什么原因导致这家运营商被罚呢？

原来，这家运营商在其提供的服务中没有采取有效的身份认证手段，只需输入客户的姓名和出生日期，用户就可以获取有关该客户的大量个人信息。BfDI认为，这违反了DSGVO（即GDPR在德国的称呼）第32条。GDPR第32条规定，公司必须采取适当的技术和组织措施来保护个人数据的安全。

身份认证，是典型的安全技术控制措施，身份认证的缺失或认证机制不足，直接导致GDPR第32条的合规冲突（技术和组织保障措施不到位）。

身份认证，也是《数据安全架构设计与实战》一书中从源头保障产品数据安全的五个要素之一，详见：

从源头打造安全的产品，保障数据安全

安全防护，从源头开始，从身份认证开始，执行基于身份的信任与访问控制。

附录：数据安全大额罚单（截至2019.12.10）