某电商平台因未经授权收集用户数据被罚数百万元，从中可汲取哪些法律与安全教训？

某电商平台由于未经用户授权，过度收集用户数据，造成数据泄露，被处以数百万元罚款。这一事件给企业的数据安全与合规管理敲响了警钟。

事件回顾

电商平台「A」在用户下载APP时，未明确告知用户收集个人信息的目的、方式和范围，未取得用户同意，即开启edugps采集功能，收集用户手机号码、imei设备号、经纬度等信息，并上传服务器。该行为涉及用户数量达数千万，违反了《网络安全法》《个人信息保护法》等相关法律法规，最终被处以数百万元罚款。

法律分析

该事件主要涉及两方面法律问题：

• 未经用户授权收集个人信息
  根据《个人信息保护法》，处理个人信息应当遵循合法、正当、必要的原则，不得过度收集个人信息。处理个人信息应当符合公开的收集范围，并取得个人的同意。

• 违规收集个人位置信息
  根据《个人信息保护法》，处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，应当取得个人的单独同意。电商平台在收集用户位置信息时，未取得用户的单独同意，属于违法行为。

安全教训

• 加强合规意识
  企业应建立数据安全合规体系，加强对《网络安全法》《个人信息保护法》《数据安全法》等法律法规的学习，定期开展合规培训，提高员工的法律意识，避免违规收集、使用个人信息。

• 完善数据安全措施
  企业应建立完善的数据安全管理制度，采取相应的技术措施，加强数据的安全防护。包括对用户数据进行加密存储、传输，设置专人管理数据，定期审查数据安全措施的有效性等。

• 加强对第三方行为的管控
  企业应与第三方合作伙伴签订数据安全协议，明确数据安全责任，管控第三方行为，避免第三方违规处理用户数据。

保护用户数据安全是企业的社会责任，更是法律要求。希望通过这一事件分析，能给企业的数据安全与合规管理带来启发，避免类似事件发生。