企业最容易忽视的数据泄露源：数据库备份文件

一、案件背景与违法事实

2021年11月29日，立陶宛数据保护监管机构（VDAI） 公布执法决定，对汽车租赁企业 Prime Leasing UAB 处以 110,000 欧元罚款。VDAI认定，该公司在个人数据安全保护方面未采取充分措施，违反了欧盟 General Data Protection Regulation（GDPR） 的相关规定。

本案调查源于其客户向VDAI投诉，称其个人数据在互联网上被公开传播。VDAI调查后发现，相关信息并非来自公开渠道，而是来源于一份未受保护的数据库备份文件。

由于该备份文件缺乏安全保护措施，其中存储的用户信息被获取并对外公开。

VDAI进一步确认，本次事件涉及约110,302 名用户的数据泄露。泄露的数据类型包括：用户姓名、地址、电话号码、电子邮箱、个人识别号码、支付卡类型、支付卡后四位数字、支付卡有效期。

对于汽车租赁或共享汽车企业而言，上述信息通常来源于用户注册、身份认证、车辆租赁和支付结算流程，属于出行服务平台日常运营过程中大量收集和处理的核心用户数据。

二、法律定性

VDAI认定，该公司违反了GDPR 第32条第1款 (a)、(b)、(c) 所规定的个人数据安全保障义务。

根据GDPR 第32条，数据控制者在处理个人数据时必须根据风险程度采取适当的技术和组织措施，以确保数据处理的安全性，包括：

防止未经授权访问或披露个人数据；

确保数据处理系统与服务的机密性、完整性与可用性；

在发生技术或物理事件时能够及时恢复数据。

在本案中，VDAI认为企业未能建立有效的数据安全管理体系，尤其未对系统中存储的个人数据进行完整的识别与风险管理，因此未履行其作为数据控制者的安全保障义务。

三、具体违规情形、处罚依据与处罚结果

（一）主要违规情形

调查结果显示，企业在数据安全管理方面存在多个关键缺陷：

1. 未对数据机密性风险进行评估和管理
企业表示其并不知道该备份文件存在于自身基础设施中，因此没有对其进行安全管理。VDAI认为，这说明企业缺乏对其信息系统中个人数据资产的全面管理。

2. 数据文件自创建以来未采取安全保护措施
相关数据库备份文件在创建后即处于未受保护状态，未采取必要的访问控制或安全措施。

3. 数据迁移过程未进行风险评估
在个人数据迁移过程中，企业未开展风险评估，仅认为其迁移方式是安全的。VDAI认为这种做法未达到GDPR 的安全管理要求。

4. 高敏感识别信息被公开
泄露的数据中包含个人识别号码。VDAI指出，该类身份识别码具有唯一性且通常不可更改，原则上禁止公开披露，因此泄露风险较高。

（二）处罚依据

在确定处罚时，VDAI综合考虑了GDPR 行政处罚规则以及该企业上一财年的年度营业收入，并特别考虑以下加重因素：

1.数据文件自创建以来未采取任何安全保护措施；

2.涉及个人识别号码等高敏感信息泄露；

3.数据迁移过程缺乏风险评估机制。

（三）最终处罚结果

基于上述因素，VDAI 最终对 Prime Leasing UAB 处以 110,000 欧元罚款。

四、执法重点总结

从监管逻辑来看，本案体现出欧盟在数据保护方面的几个执法重点：

1. 高数据密度行业是监管重点

汽车租赁、共享汽车和出行平台通常需要收集大量用户信息，包括身份信息、联系方式以及支付信息，是高数据密度行业。这些数据一旦泄露，可能导致身份盗用或金融风险，因此属于监管重点领域。

2. 备份数据同样受到 GDPR 严格监管

本案的数据泄露来源并非生产系统，而是数据库备份文件。但VDAI仍认定企业负有同等安全保护义务。
这意味着企业在进行系统备份、历史数据存储或云端存储时，同样需要实施严格的数据安全措施。

3. 数据迁移与系统升级必须进行风险评估

汽车出行等平台通常需要频繁进行系统升级、平台迁移或技术架构调整。本案表明，数据迁移过程本身就是GDPR 的重点监管场景，企业必须开展风险评估。

4. 身份识别信息泄露属于加重处罚因素

本案显示，涉及身份证号、护照号或国家识别号码等类似身份识别信息泄露，数据保护监管机构往往会在罚款裁量时从严处理。

五、结语

对于正在或拟在欧盟开展业务的企业而言，监管实践已经明确以下合规重点：

1.建立完整的数据资产管理机制

2.对备份数据实施安全保护措施

3.在数据迁移或系统升级时开展风险评估

4.对涉及身份识别信息的数据采取更高等级保护

---

声明：

以上所刊登的文章仅代表作者本人观点，仅对相关法律与案例进行分析，不构成任何具体操作建议或法律合规意见。如有相关业务需求，欢迎随时联系本律师团队（邮箱：liunian@weihenglaw.com； 电话：18826100095)。

资料交流与后续更新说明

如需欧盟数据治理（隐私保护、数据流通与治理、网络与产品安全、平台治理与竞争、人工智能等）的法规与指南中英整理材料，欢迎扫码添加以下作者微信。添加时烦请备注：所在单位 + 姓名 + 职位，便于后续资料发送与交流。

本公众号也会持续更新全球数据合规与AI治理、出海合规实务内容，欢迎关注。

作者简介：