德國首樁GDPR開罰案例出爐，遭駭的聊天平台Knuddels.de因明文存放密碼遭罰2萬歐元

德國資料保護中心上周在境內祭出第一筆基於《歐盟通用資料保護規則》（GDPR）的罰單，當地的聊天平台Knuddels.de因以明文存放密碼而被判罰2萬歐元（71萬元新台幣），有別於大家想像中的巨額罰款，該資料保護中心則說，他們並不打算挑戰最高罰款，最重要的是能夠改善用戶的資料安全及隱私。

Knuddels.de是在今年7月遭到駭客入侵，駭客盜走了該站的用戶資料，還對外公布了187.2萬名用戶名稱及密碼，以及用戶個人檔案中的電子郵件位址、用戶姓名與居住地等資訊。令人傻眼的是，該站以明文存放了所有用戶的密碼。

Knuddels.de在得知此事之後，立即要求所有的用戶變更密碼，並向德國資料保護中心報告。

德國資料保護中心指出，Knuddels.de以明文存放用戶密碼是故意違反了保障用戶資料安全的責任，有違GDPR的規定，有鑑於Knuddels.de的合作態度良好，再加上很快就採取行動以改善該站的安全機制，在衡量Knuddels.de的整體財務負擔之後，祭出2萬歐元的罰款。

根據GDPR的規定，若嚴重侵犯用戶隱私或資料，企業最高可能被判罰2,000萬歐元（約7.2億元新台幣）或企業全球營收的4%，兩者取其高者。

為此，德國資料保護中心則強調，GDPR的用意不只是在有效及勸阻性，也應與企業規模相對稱，此一規定最終目的是在保障用戶的隱私及資料安全，而非在於挑戰最高罰款金額。