因解決問題不力等諸多問題,知名密碼管理工具 LastPass 正面臨 2000 萬歐元的 GDPR 罰款風險。在歐盟,資料隱私和公司管理個人資料的方式是非常嚴肅的。這些公司必須遵循 GDPR 準則,否則可能會遭受嚴重後果。
而且歐盟對這方面的打擊力度非常大。去年 7 月,因為有 1 萬人投訴亞馬遜處理使用者資料的方式被發現侵犯了使用者的隱私,這家零售巨頭被勒令支付高達 7.46 億歐元的罰款。而在去年 12 月的安全災難中,LastPass 正忙於修復和恢復工作,但正是這些尚未解決的漏洞可能因為違反違反了 GDPR 的第 20 條,即資料可移植性權利,面臨最高 2000 萬歐元的罰款。
在一個 Reddit 帖子中,使用者 /u/nametaken_thisonetoo 釋出了他對 LastPass 公司的不滿,解釋了該軟體挾持你的資料的眾多方式。該帖子很快被 AlternativeTo 上的一篇文章所跟進,作者將這些痛點與違反 GDPR 的行為聯絡起來。
在列出的諸多不滿中,最突出的一點就是 LastPass 免費使用者很難、甚至不可能匯出他們的個人資料的策略。例如,如果你已經降到了免費賬戶,LastPass可以在移動或桌面之間進行三次切換後將你鎖定在他們的桌面瀏覽器產品中。一旦你被鎖定到桌面外掛,你可能無法匯出你的資料,因為有無數未解決的錯誤。
LastPass 論壇使用者 tombrady 在 2021 年 3 月 21 日報告了這個 bug,匯出資料的選項被簡單地灰掉了,沒有任何辦法,而且幾乎十個月後仍然沒有解決。有趣的是,該論壇帖子被 LastPass 工作人員 GlennD 標記為"接受解決方案",他說:"我們知道這個問題,並將很快釋出一個更新來糾正這個問題"。
儘管如此,該論壇帖子繼續收到關於他們的資料被挾持的投訴,但沒有實際確認該錯誤被修復。在過去 24 小時內,有兩個帖子詢問為什麼這個錯誤仍然沒有被修復。與此同時,GlennD 似乎正在手工修復所有報告的錯誤。這個錯誤存在的事實可能直接違反了 GDPR的第20條,即資料可移植性權利。該條款明確指出,使用者應該能夠以"常用的和機器可讀的格式"訪問他們的資料,不分付費和非付費客戶。
另一個抱怨是,LastPass 不提供傳統的支援渠道。雖然LastPass高階使用者可以獲得電話和電子郵件支援,但免費使用者卻無法獲得。這意味著,如果你因為LastPass的錯誤而無法訪問你的資料,你將不得不依賴 LastPass 的論壇,正如上面所證明的,這是一個不穩定的經驗,可能會或可能不會導致一個解決方案。透過限制免費客戶的電話和電子郵件支援,LastPass 似乎再次違反了GDPR第20條,使自己容易受到相當大的罰款。
