德国首桩GDPR开罚案例出炉，遭骇的聊天平台Knuddels.de因明文存放密码遭罚2万欧元

德国资料保护中心上周在境内祭出第一笔基于《欧盟通用资料保护规则》（GDPR）的罚单，当地的聊天平台Knuddels.de因以明文存放密码而被判罚2万欧元（71万元新台币），有别于大家想像中的巨额罚款，该资料保护中心则说，他们并不打算挑战最高罚款，最重要的是能够改善用户的资料安全及隐私。

Knuddels.de是在今年7月遭到骇客入侵，骇客盗走了该站的用户资料，还对外公布了187.2万名用户名称及密码，以及用户个人档案中的电子邮件位址、用户姓名与居住地等资讯。令人傻眼的是，该站以明文存放了所有用户的密码。

Knuddels.de在得知此事之后，立即要求所有的用户变更密码，并向德国资料保护中心报告。

德国资料保护中心指出，Knuddels.de以明文存放用户密码是故意违反了保障用户资料安全的责任，有违GDPR的规定，有鉴于Knuddels.de的合作态度良好，再加上很快就采取行动以改善该站的安全机制，在衡量Knuddels.de的整体财务负担之后，祭出2万欧元的罚款。

根据GDPR的规定，若严重侵犯用户隐私或资料，企业最高可能被判罚2,000万欧元（约7.2亿元新台币）或企业全球营收的4%，两者取其高者。

为此，德国资料保护中心则强调，GDPR的用意不只是在有效及劝阻性，也应与企业规模相对称，此一规定最终目的是在保障用户的隐私及资料安全，而非在于挑战最高罚款金额。