因解决问题不力等诸多问题,知名密码管理工具 LastPass 正面临 2000 万欧元的 GDPR 罚款风险。在欧盟,数据隐私和公司管理个人数据的方式是非常严肃的。这些公司必须遵循 GDPR 准则,否则可能会遭受严重后果。
而且欧盟对这方面的打击力度非常大。去年 7 月,因为有 1 万人投诉亚马逊处理用户数据的方式被发现侵犯了用户的隐私,这家零售巨头被勒令支付高达 7.46 亿欧元的罚款。而在去年 12 月的安全灾难中,LastPass 正忙于修复和恢复工作,但正是这些尚未解决的漏洞可能因为违反违反了 GDPR 的第 20 条,即数据可移植性权利,面临最高 2000 万欧元的罚款。
在一个 Reddit 帖子中,用户 /u/nametaken_thisonetoo 发布了他对 LastPass 公司的不满,解释了该软件挟持你的数据的众多方式。该帖子很快被 AlternativeTo 上的一篇文章所跟进,作者将这些痛点与违反 GDPR 的行为联系起来。
在列出的诸多不满中,最突出的一点就是 LastPass 免费用户很难、甚至不可能导出他们的个人数据的策略。例如,如果你已经降到了免费账户,LastPass可以在移动或桌面之间进行三次切换后将你锁定在他们的桌面浏览器产品中。一旦你被锁定到桌面插件,你可能无法导出你的数据,因为有无数未解决的错误。
LastPass 论坛用户 tombrady 在 2021 年 3 月 21 日报告了这个 bug,导出数据的选项被简单地灰掉了,没有任何办法,而且几乎十个月后仍然没有解决。有趣的是,该论坛帖子被 LastPass 工作人员 GlennD 标记为"接受解决方案",他说:"我们知道这个问题,并将很快发布一个更新来纠正这个问题"。
尽管如此,该论坛帖子继续收到关于他们的数据被挟持的投诉,但没有实际确认该错误被修复。在过去 24 小时内,有两个帖子询问为什么这个错误仍然没有被修复。与此同时,GlennD 似乎正在手工修复所有报告的错误。这个错误存在的事实可能直接违反了 GDPR的第20条,即数据可移植性权利。该条款明确指出,用户应该能够以"常用的和机器可读的格式"访问他们的数据,不分付费和非付费客户。
另一个抱怨是,LastPass 不提供传统的支持渠道。虽然LastPass高级用户可以获得电话和电子邮件支持,但免费用户却无法获得。这意味着,如果你因为LastPass的错误而无法访问你的数据,你将不得不依赖 LastPass 的论坛,正如上面所证明的,这是一个不稳定的经验,可能会或可能不会导致一个解决方案。通过限制免费客户的电话和电子邮件支持,LastPass 似乎再次违反了GDPR第20条,使自己容易受到相当大的罚款。