因解決問題不力等諸多問題,知名密碼管理工具 LastPass 正面臨 2000 萬歐元的 GDPR 罰款風險。在歐盟,數據隱私和公司管理個人數據的方式是非常嚴肅的。這些公司必須遵循 GDPR 準則,否則可能會遭受嚴重後果。
而且歐盟對這方面的打擊力度非常大。去年 7 月,因為有 1 萬人投訴亞馬遜處理用戶數據的方式被發現侵犯了用戶的隱私,這家零售巨頭被勒令支付高達 7.46 億歐元的罰款。而在去年 12 月的安全災難中,LastPass 正忙於修復和恢復工作,但正是這些尚未解決的漏洞可能因為違反違反了 GDPR 的第 20 條,即數據可移植性權利,面臨最高 2000 萬歐元的罰款。
在一個 Reddit 帖子中,用戶 /u/nametaken_thisonetoo 發布了他對 LastPass 公司的不滿,解釋了該軟件挾持你的數據的眾多方式。該帖子很快被 AlternativeTo 上的一篇文章所跟進,作者將這些痛點與違反 GDPR 的行為聯繫起來。
在列出的諸多不滿中,最突出的一點就是 LastPass 免費用戶很難、甚至不可能導出他們的個人數據的策略。例如,如果你已經降到了免費賬戶,LastPass可以在移動或桌面之間進行三次切換后將你鎖定在他們的桌面瀏覽器產品中。一旦你被鎖定到桌面插件,你可能無法導出你的數據,因為有無數未解決的錯誤。
LastPass 論壇用戶 tombrady 在 2021 年 3 月 21 日報告了這個 bug,導出數據的選項被簡單地灰掉了,沒有任何辦法,而且幾乎十個月後仍然沒有解決。有趣的是,該論壇帖子被 LastPass 工作人員 GlennD 標記為”接受解決方案”,他說:”我們知道這個問題,並將很快發布一個更新來糾正這個問題”。
儘管如此,該論壇帖子繼續收到關於他們的數據被挾持的投訴,但沒有實際確認該錯誤被修復。在過去 24 小時內,有兩個帖子詢問為什麼這個錯誤仍然沒有被修復。與此同時,GlennD 似乎正在手工修復所有報告的錯誤。這個錯誤存在的事實可能直接違反了 GDPR的第20條,即數據可移植性權利。該條款明確指出,用戶應該能夠以”常用的和機器可讀的格式”訪問他們的數據,不分付費和非付費客戶。
另一個抱怨是,LastPass 不提供傳統的支持渠道。雖然LastPass高級用戶可以獲得電話和電子郵件支持,但免費用戶卻無法獲得。這意味着,如果你因為LastPass的錯誤而無法訪問你的數據,你將不得不依賴 LastPass 的論壇,正如上面所證明的,這是一個不穩定的經驗,可能會或可能不會導致一個解決方案。通過限制免費客戶的電話和電子郵件支持,LastPass 似乎再次違反了GDPR第20條,使自己容易受到相當大的罰款。
