近日，美国联邦贸易委员会(The Federal Trade Commission，下称FTC)宣布，针对此前定制商品零售商CafePress泄露超2300万用户个人信息一事做出最终决定，要求该公司向受数据泄露影响的受害者赔偿共50万美元。同时，全面加强数据安全保障，实行多重身份认证机制，将收集和存储的用户信息数量降至最低。

公开资料显示，CafePress是美国一家知名定制商品零售公司，截至2011年3月，CafePress拥有超过1300万会员，其网站上有超过3.25亿种产品。2020年9月，该公司被PlanetArt收购。

据报道，2019年2月，CafePress的服务器遭遇黑客入侵，随后超过2300万CafePress用户的个人信息在网络犯罪论坛上被发布和出售。其中包括数百万用户姓名、地址、密保问题和答案以及加密程度较弱的用户电子邮件地址和密码，超过18万个未加密的身份证号码，还有大量的用户支付卡账号信息。

FTC就此对CafePress提起诉讼。诉状显示，CafePress一直拖延到2019年9月才披露上述数据泄露事件。在此期间，CafePress收到了来自多方的安全警告，但其向用户隐瞒了这一事实，只是以密码政策更新为由告知用户需重置密码。尽管CafePress在数据泄露发生后对黑客入侵的漏洞进行了修补，但并未对此事件展开全面调查，并依然允许用户使用已经被黑客获取的信息登录其账户。

不仅如此，FTC还针对CafePress的安全保障措施提出质疑，认为CafePress以明文形式存储用户的身份证号和密保问题及答案的做法欠妥;同时，其存储用户个人信息的时间超过了必要时限。此外，CafePress还曾欺骗用户，在向用户承诺只会将其收集的信息用于履行订单的情况下，利用用户邮箱地址进行营销。

FTC认定，CafePress在2019年数据泄露事件发生之前就知道其数据安全方面存在问题。2018年1月，当CafePress得知某些用户账户遭受黑客攻击时，其关闭了这些账户，并向受害者收取了25美元的账户关闭费。在2019年的严重数据泄露发生之前，CafePress已多次被恶意软件入侵，但其并未调查此类攻击的来源。

“CafePress采用了简陋的安全措施，并向消费者隐瞒了多个漏洞。”FTC消费者保护局局长塞缪尔·莱文(Samuel Levine)曾表示，“应对CafePress松懈的安全措施进行问责，并对受到影响的小企业进行赔偿，通过采取多重身份认证等特定的安全措施来更好地保护个人信息。”

近日，FTC宣布了针对CafePress数据泄露事件的最终决定。CafePress需向受数据泄露影响的受害者赔偿共50万美元，及时通知遭受数据泄露的受害者，并告知他们该如何保护自己的个人信息。

此外，CafePress及其实际控制者被还要求必须采取全面的数据安全保障措施，包括施行多重身份验证机制，最大限度地减少收集和存储用户个人信息的数量;对用户的身份证号码进行加密，以及让第三方对其数据安全保障机制进行评估，并向FTC提供一份适合公开披露的评估报告。

关键词： CafePress泄露2300万用户信息被罚50万美元 数据泄漏事件 用户个人信息保护 数据安全保障措施