Discord 是一个著名的讨论平台(文本、音频和视频),最初受到游戏玩家的欢迎,但现在被许多想要围绕共同话题聊天的用户使用。但她刚刚受到国家信息技术和自由委员会的制裁,将不得不支付80万欧元的巨额罚款。事实上,CNIL 指出了几起违反对私人生活尊重的行为,并且 Discord 没有遵守一般数据保护条例 (GDPR) 规定的义务。它在其新闻稿中具体说明了确定罚款金额的标准:
“这一数额的决定考虑了所发现的违规行为、相关人员的数量,同时也考虑到该公司在整个程序中为遵守规定所做的努力,以及其商业模式并非基于剥削的事实。个人数据。 »
第一个违规行为涉及用户数据的保留(GDPR 第 5.1.e 条和 25.2 条)。 CNIL 发现有 2,474,000 个法国用户账户超过三年没有活动,58,000 个账户超过五年没有使用。此外,Discord 没有提供有关帐户保留期限的任何信息,也没有提供确定该期限的标准。该平台被迫纠正这种情况,并在用户两年不活动后表示将删除这些帐户。
继续在后台运行的应用程序
另一个问题是关闭 Windows PC 上的 Discord 应用程序。当用户通过单击十字关闭窗口时,应用程序仍然在后台运行,而不会通知用户。因此,在 Discord 中使用麦克风的人仍然可以被其他用户听到,即使他们认为自己已经离开该程序。现在,当您首次关闭应用程序时,会出现一个窗口,警告连接到音频室的用户该程序仍在后台活动,但他们可以修改此操作参数。
密码太弱
CNIL 还认为 Discord 允许使用过于简单的密码(由字母和数字组成的六个字符),从而未能充分保护用户。该平台已遵守规定,现在要求密码至少包含八个字符,并且至少包含四类可用字符中的三类(小写、大写、数字和特殊字符)。此外,它还会在十次登录尝试失败后激活验证码系统。
权利和自由不存在高风险
最后,Discord 因未进行与数据保护相关的影响分析(GDPR 第 35 条)而受到制裁,尽管该平台处理大量数据并允许未成年人使用其服务。从那时起,该公司进行了两项影响分析:一项涉及平台的基本服务,另一项专门针对 Discord 服务。两项分析得出的结论是,数据处理不太可能对个人权利和自由造成高风险。
简而言之,Discord 无意中实施了违规行为,并与 CNIL 充分合作进行补救。可惜之前公司没这么做……
来源 : 法国国家信息实验室
