【安全资讯】法国对Free Mobile处以4200万欧元罚款，因2024年数据泄露事件

概要：

在数字化时代，数据安全已成为企业运营的生命线。近日，法国数据保护监管机构CNIL对电信巨头Free Mobile及其母公司Free开出了高达4200万欧元的罚单，原因是其在2024年10月发生的大规模数据泄露事件中未能充分保护客户数据。此次事件暴露了近2300万移动和固定用户的敏感信息，凸显了关键基础设施提供商在网络安全防护上的重大疏漏。

主要内容：

2024年10月，黑客入侵了Free Mobile的管理工具，窃取了海量客户数据并在黑客论坛上出售。攻击者声称影响了1920万客户，其中约25%的个人银行账户信息（IBAN）被泄露。事件发生后，CNIL收到了超过2500起投诉，随即展开调查。

调查发现，Free Mobile和Free违反了欧盟《通用数据保护条例》（GDPR）的多项规定。核心问题包括：未能确保数据安全（GDPR第32条），例如员工远程访问使用的VPN认证薄弱，且系统未能有效检测异常活动，这直接导致了攻击的成功。

此外，公司未能妥善通知受影响的个人（GDPR第34条），其发送的邮件缺乏详细信息，未明确说明泄露后果及风险缓解步骤。同时，公司还过度保留了数百万前用户的个人数据（GDPR第5(1)(e)条），超出了会计目的所需的合理期限，且未及时分类或删除。

CNIL责令两家公司在三个月内完成新安全措施的部署，并要求Free Mobile在六个月内完成对冗余客户数据的清理。此事件是法国电信行业一系列安全事件的缩影，随后Orange France和Bouygues Telecom也相继曝出数据泄露，影响了数百万用户。