多达7.3万名丹麦人的数据为何多年被泄露？

主管机构仍无回应：多达7.3万名丹麦人的数据为何多年被泄露？

丹麦广播公司新闻（DR Nyheder）两周来一直试图了解，车辆登记系统（Motorregistret）的数据为何在五年间流入错误之手。

两周前，机动车管理局（Motorstyrelsen）公开表示，车辆登记系统多年来一直存在严重数据泄露问题，导致私人企业能够查询多达7.3万名丹麦人的信息。

其中甚至包括明确申请了姓名和地址保护的人。

具体而言，这7.3万人已收到通知，其姓名和地址可能在2021年至2025年7月15日期间被泄露到不当方手中。不过机动车管理局也表示，“实际受到安全漏洞影响的人数可能较少”。

自事件曝光以来，DR新闻一直试图获得多个关键问题的答案，尤其是错误是如何发生的，以及为何在长达五年时间内未被发现和修复。

媒体还询问了机动车管理局是否无法或不愿透露哪些公司访问了这些数据。

两周过去，该机构仍回应称“正在准备答复”，且无法说明何时会给出结果。

什么是车辆登记系统？

车辆登记系统是国家用于登记丹麦所有车辆的数据库，其中包含车牌号码、车主、地址以及车辆使用者等信息。

出于各种原因，一些人不希望自己的地址被公开，因此可以申请姓名和地址保护。

而这一保护机制恰恰在过去五年中存在问题。

“我不明白为什么他们不公布”

其中一位可能被泄露信息的丹麦人是Anders Friis。他曾尝试获取哪些公司访问了这些私人数据的信息，但其信息公开申请被拒。

他对机动车管理局迟迟不给出答案感到非常不解。

“我不明白他们为什么不公布是谁访问了这些信息。这对我们这些申请了姓名和地址保护的人来说非常重要，这样我们才能评估自己面临的风险。”

Anders Friis担心，他的姓名和地址可以通过车牌被搜索到。

该漏洞使得人们可以通过车架号、车牌号或车辆ID查询到姓名和地址。

“我申请姓名和地址保护，是因为我过去的工作接触过犯罪环境。但也有一些人是因为遭遇伴侣暴力、荣誉暴力或其他原因而申请保护，”现任信息安全协调员的他表示。

“如果这些信息落入错误的人手中，甚至可能危及生命和人身安全。”

机动车管理局两周前表示，已于7月14日向那些曾经拥有系统访问权限的公司发出通知，但并不清楚哪些公司实际使用了该权限。

教授：应该有日志记录

丹麦数据保护局在其官网明确表示，根据GDPR规定，应当记录（即“日志记录”）信息何时以及如何被使用。

哥本哈根大学计算机科学系教授Thomas Hildebrandt表示：

“我会认为一个政府机构应该记录相关数据。这也是法规所要求的。不过法律中也存在一定弹性，即需要在‘当前技术水平和实施成本与风险之间做出合理权衡’。”

目前尚未得到解答的一个关键问题是，机动车管理局是否没有对系统中的数据访问进行日志记录，从而无法追踪哪些公司查询了本不应访问的信息。如果确实没有记录，Thomas Hildebrandt认为这属于“双重错误”。

“既在于让无关人员获得了系统访问权限，也在于没有记录数据访问情况，从而无法知道是谁访问过这些信息。”

在数据泄露事件公布时，机动车管理局副局长Claus Holm曾表示：

“我们对这一错误的发生深感遗憾，并非常严肃地看待此事。一旦发现问题，我们立即关闭了漏洞。”

该安全事件已报告至丹麦数据保护局。受影响的公民有权就机动车管理局对其个人数据的处理向该机构提出投诉。