• 主页
  • 文章
  • 指导
  • Gravity Forms Stop Entries Plugin 旨在帮助网站遵守欧盟的 GDPR

Gravity Forms Stop Entries Plugin 旨在帮助网站遵守欧盟的 GDPR

已发表: 2017-08-17
图片来源:AJ Montpetit

Wider Gravity Forms Stop Entries 是一个新插件,可帮助网站所有者通过防止条目存储在数据库中来保护表单提交的隐私。 该插件由英国 Web 开发人员 Jonny Allbut 创建,供他为处理 WordPress 客户需求而成立的公司 Wider 内部使用。

遵守欧盟通用数据保护条例 (GDPR) 的一个方面是确保联系表格不会在服务器上存储任何个人身份数据。 该法规将于 2018 年 5 月生效,为欧盟公民服务的网站正在为截止日期做准备,并对其处理隐私的方式进行审计和更改。

Gravity Forms 没有提供阻止条目存储在服务器上的内置选项,但 GF 联合创始人 Carl Hancock 表示有多种方法可以实现这一目标。

“如果您只想通过电子邮件发送表单的内容,而不是将数据存储在数据库中,作为您希望采取的 GDPR 合规途径的一部分,那么这个插件将是这样做的一种方法,”汉考克说。 他还引用了 Gravity Wiz 的商业禁用条目创建插件。 开发者也可以在提交后通过钩子删除条目数据。

“但是,GDPR 并不排除将表单条目存储在数据库中,并且完全取决于您存储的数据类型以及您已实施的其他保护措施和功能,”汉考克说。 “这是一个复杂的问题,我不完全确定欧盟是否完全理解它可能带来的负担和影响。”

最终,合规性要求落在收集数据的网站管理员身上。 他们有责任选择保护用户隐私的工具。

“虽然它不会单独提供 GDPR 合规性,但 Jonny 的扩展是朝着正确方向迈出的急需的一步,”数字法律专家 Heather Burns 说。 Burns 向需要帮助以使其网站符合 GDPR 的公司进行咨询。 “GDPR 要求在设计上遵守隐私原则,其中一部分是数据最小化和删除。”

WordPress 有几十个流行的联系表单插件,包括免费的和商业的。 他们中的许多人将条目存储在数据库中,以防收件人的电子邮件出现问题,从而防止通信丢失。 关注 GDPR 合规性的站点管理员将希望检查他们为表单选择的解决方案。 Burns 建议联系表单插件需要做以下三件事:

  • 确保表单条目中的个人和敏感个人数据不存储在数据库中;
  • 提供配置选项,允许在一定时间后自动删除联系表条目;
  • 确保在停用或删除插件时删除所有联系表单数据。

“不幸的是,旅行的方向完全相反:联系表格条目往往会永久存储在数据库中,无论内容或必要性如何,”伯恩斯说。 “具有在一段时间后自动删除表单提交的选项的联系表单插件很少见。 我什至见过将条目复制到单独的表格中的联系表单扩展,从所有方面考虑,这都是疯狂的。 我们需要朝着数据最小化和删除的方向发展,而不是保留和复制。”

上个月,JJ Jay 发表了一篇关于流行的 WordPress 联系表单插件如何以及在何处存储数据的分析。 对于不确定他们选择的解决方案如何处理数据收集和存储的站点管理员来说,这是一个有用的参考。 她建议用户在检查联系表格时要问几个问题:

  • 可以打开和关闭存储数据的选项吗?
  • 什么粒度?
  • 删除插件时数据可以删除吗?
  • 除了每个表格中的数据之外,还存储了哪些个人身份数据? (即用户的IP地址)
  • 是否可以临时或按计划删除提交?

如果您不确定其他插件会在您的数据库中留下什么,Jay 还创建了一个“我的数据库中有什么?” 管理员可以在工具菜单下安装和访问的插件。 它是只读的,并列出了每个表及其列,因此用户可以查看是否有任何意外。

British Pregnancy Advice Service (BPAS) Hack 强调了在数据库中存储联系表条目的危险

在向网站所有者宣传存储敏感个人数据的危险时,Heather Burns 经常引用 2012 年英国怀孕咨询服务 (BPAS) 黑客事件作为将联系表格条目存储在数据库中的最糟糕的例子之一。 后来被判入狱的黑客从该慈善机构窃取了数千条记录,该慈善机构在一个未知的过时 CMS 上运行,密码较弱。 该网站尚未对其个人数据收集和存储方法进行隐私影响评估。

“BPAS 提供的服务之一是堕胎,”伯恩斯说。 “他们的许多服务用户来自爱尔兰,那里几乎在所有情况下都禁止堕胎。 该网站有一个联系表格,女性可以在其中询问堕胎问题。 BPAS 认为消息只是通过站点传递; 该组织内没有人知道每份联系表提交的副本都存储在数据库中。 不可避免地,该网站很容易被下载数据库的反堕胎活动家入侵。 他发现自己拥有超过 5,000 份提交的联系表格,这些表格可以追溯到五年前,其中包含女性的姓名、电子邮件地址、电话号码以及她们询问堕胎的事实。 然后他宣布他打算在一个反堕胎论坛上公布这些女性的数据。”

黑客在有机会公布名单之前就被抓获并逮捕。 他被判入狱 32 个月,BPAS 因数据保护违规被罚款 20 万英镑。

“除了批评慈善机构的技术故障外,监管机构还提请注意这样一个事实,即工作人员中没有人想过就他们使用的工具提出适当的问题; 他们还对该网站的合法隐私政策感到愤怒,这显然不值得打印它的像素,“伯恩斯说。 “所有这些失败都被数据保护监管机构认为是不可接受和不可原谅的。 毫不夸张地说,女性可能会因为联系表格而被杀。”

对于那些致力于 GDPR 合规的人来说,审核联系表格只是其中的一部分。 Burns 建议站点管理员对通过表单提交的个人和敏感数据进行隐私影响评估。 隐私声明还应明确说明如何处理这些数据以及在删除之前保留多长时间。

GDPR 被写入域外,并声明该法规适用于任何拥有欧洲用户的网站或服务。 这些网站应根据欧洲法规保护欧盟用户的数据。 许多美国公司所有者还不相信这在欧盟境外是可执行的,并且没有投资于让他们的在线实体合规。

“GDPR 为用户保护提供了一个非常有用的框架,现在比以往任何时候都更加重要,”伯恩斯说。 “我鼓励美国人为 GDPR 工作,因为它是一个建设性的问责框架,总比没有好得多。”

Wider Gravity Forms Stop Entries 目前是官方 WordPress 目录中唯一解决特定联系表单插件的 GDPR 问题的插件。 随着 2018 年 5 月截止日期的临近,其他人可能会变得可用。 Jonny Allbut 在常见问题解答中警告用户在将插件添加到实时站点之前使用第三方 GF 扩展对其进行测试,因为某些扩展可能依赖于引用存储在表单提交中的数据条目。

我问 Carl Hancock Gravity Forms 是否可以将在数据库中存储表单条目作为可选功能,他证实他们正在考虑这一点。

“是的,这当然是可能的,”汉考克说。 “我们试图避免与 Gravity Forms 可用的第 3 方附加组件发生冲突,以鼓励它们的发展,”汉考克说。 “但不幸的是,这并不总是可以避免的。 这是一个过去曾被多次请求的功能,我怀疑随着 GDPR 的出现,这将是一个在未来会被更多请求的功能。”