• 主頁
  • 文章
  • 指導
  • Gravity Forms Stop Entries Plugin 旨在幫助網站遵守歐盟的 GDPR

Gravity Forms Stop Entries Plugin 旨在幫助網站遵守歐盟的 GDPR

已發表: 2017-08-17
圖片來源:AJ Montpetit

Wider Gravity Forms Stop Entries 是一個新插件,可幫助網站所有者通過防止條目存儲在數據庫中來保護表單提交的隱私。 該插件由英國 Web 開發人員 Jonny Allbut 創建,供他為處理 WordPress 客戶需求而成立的公司 Wider 內部使用。

遵守歐盟通用數據保護條例 (GDPR) 的一個方面是確保聯繫表格不會在服務器上存儲任何個人身份數據。 該法規將於 2018 年 5 月生效,為歐盟公民服務的網站正在為截止日期做準備,並對其處理隱私的方式進行審計和更改。

Gravity Forms 沒有提供阻止條目存儲在服務器上的內置選項,但 GF 聯合創始人 Carl Hancock 表示有多種方法可以實現這一點。

“如果您只想通過電子郵件發送表單的內容,而不是將數據存儲在數據庫中,作為您希望採取的 GDPR 合規途徑的一部分,那麼這個插件將是這樣做的一種方法,”漢考克說。 他還引用了 Gravity Wiz 的商業禁用條目創建插件。 開發者也可以在提交後通過鉤子刪除條目數據。

“但是,GDPR 並不排除將表單條目存儲在數據庫中,並且完全取決於您存儲的數據類型以及您已實施的其他保護措施和功能,”漢考克說。 “這是一個複雜的問題,我不完全確定歐盟是否完全理解它可能帶來的負擔和影響。”

最終,合規性要求落在收集數據的網站管理員身上。 他們有責任選擇保護用戶隱私的工具。

“雖然它不會單獨提供 GDPR 合規性,但 Jonny 的擴展是朝著正確方向邁出的急需的一步,”數字法律專家 Heather Burns 說。 Burns 向需要幫助以使其網站符合 GDPR 的公司進行諮詢。 “GDPR 要求在設計上遵守隱私原則,其中一部分是數據最小化和刪除。”

WordPress 有幾十個流行的聯繫表單插件,包括免費的和商業的。 他們中的許多人將條目存儲在數據庫中,以防收件人的電子郵件出現問題,從而防止通信丟失。 關注 GDPR 合規性的站點管理員將希望檢查他們為表單選擇的解決方案。 Burns 建議聯繫表單插件需要做以下三件事:

  • 確保表單條目中的個人和敏感個人數據不存儲在數據庫中;
  • 提供配置選項,允許在一定時間後自動刪除聯繫表條目;
  • 確保在停用或刪除插件時刪除所有聯繫表單數據。

“不幸的是,旅行的方向完全相反:聯繫表格條目往往會永久存儲在數據庫中,無論內容或必要性如何,”伯恩斯說。 “具有在一段時間後自動刪除表單提交的選項的聯繫表單插件很少見。 我什至見過將條目複製到單獨的表格中的聯繫表單擴展,從所有方面考慮,這都是瘋狂的。 我們需要朝著數據最小化和刪除的方向發展,而不是保留和復制。”

上個月,JJ Jay 發表了一篇關於流行的 WordPress 聯繫表單插件如何以及在何處存儲數據的分析。 對於不確定他們選擇的解決方案如何處理數據收集和存儲的站點管理員來說,這是一個有用的參考。 她建議用戶在檢查聯繫表格時要問幾個問題:

  • 可以打開和關閉存儲數據的選項嗎?
  • 什麼粒度?
  • 刪除插件時數據可以刪除嗎?
  • 除了每個表格中的數據之外,還存儲了哪些個人身份數據? (即用戶的IP地址)
  • 是否可以臨時或按計劃刪除提交?

如果您不確定其他插件會在您的數據庫中留下什麼,Jay 還創建了一個“我的數據庫中有什麼?” 管理員可以在工具菜單下安裝和訪問的插件。 它是只讀的,並列出了每個表及其列,因此用戶可以查看是否有任何意外。

British Pregnancy Advice Service (BPAS) Hack 強調了在數據庫中存儲聯繫表條目的危險

在向網站所有者宣傳存儲敏感個人數據的危險時,Heather Burns 經常引用 2012 年英國懷孕諮詢服務 (BPAS) 黑客事件作為將聯繫表格條目存儲在數據庫中的最糟糕的例子之一。 後來被判入獄的黑客從該慈善機構竊取了數千條記錄,該慈善機構在一個未知的過時 CMS 上運行,密碼較弱。 該網站尚未對其個人數據收集和存儲方法進行隱私影響評估。

“BPAS 提供的服務之一是墮胎,”伯恩斯說。 “他們的許多服務用戶來自愛爾蘭,那裡幾乎在所有情況下都禁止墮胎。 該網站有一個聯繫表格,女性可以在其中詢問墮胎問題。 BPAS 認為消息只是通過站點傳遞; 該組織內沒有人知道每份聯繫表提交的副本都存儲在數據庫中。 不可避免地,該網站很容易被下載數據庫的反墮胎活動家入侵。 他發現自己擁有超過 5,000 份提交的聯繫表格,這些表格可以追溯到五年前,其中包含女性的姓名、電子郵件地址、電話號碼以及她們詢問墮胎的事實。 然後他宣布他打算在一個反墮胎論壇上公佈這些女性的數據。”

黑客在有機會公佈名單之前就被抓獲並逮捕。 他被判入獄 32 個月,BPAS 因數據保護違規被罰款 20 萬英鎊。

“除了批評慈善機構的技術故障外,監管機構還提請注意這樣一個事實,即工作人員中沒有人想過就他們使用的工具提出適當的問題; 他們還對該網站的合法隱私政策感到憤怒,這顯然不值得打印它的像素,“伯恩斯說。 “所有這些失敗都被數據保護監管機構認為是不可接受和不可原諒的。 毫不誇張地說,女性可能會因為聯繫表格而被殺。”

對於那些致力於 GDPR 合規的人來說,審核聯繫表格只是其中的一部分。 Burns 建議站點管理員對通過表單提交的個人和敏感數據進行隱私影響評估。 隱私聲明還應明確說明如何處理這些數據以及在刪除之前保留多長時間。

GDPR 被寫入域外,並聲明該法規適用於任何擁有歐洲用戶的網站或服務。 這些網站應根據歐洲法規保護歐盟用戶的數據。 許多美國公司所有者還不相信這在歐盟境外是可執行的,並且沒有投資於讓他們的在線實體合規。

“GDPR 為用戶保護提供了一個非常有用的框架,現在比以往任何時候都更加重要,”伯恩斯說。 “我鼓勵美國人為 GDPR 工作,因為它是一個建設性的問責框架,總比沒有好得多。”

Wider Gravity Forms Stop Entries 目前是官方 WordPress 目錄中唯一解決特定聯繫表單插件的 GDPR 問題的插件。 隨著 2018 年 5 月截止日期的臨近,其他人可能會變得可用。 Jonny Allbut 在常見問題解答中警告用戶在將插件添加到實時站點之前使用第三方 GF 擴展對其進行測試,因為某些擴展可能依賴於引用存儲在表單提交中的數據條目。

我問 Carl Hancock Gravity Forms 是否可以將在數據庫中存儲表單條目作為可選功能,他證實他們正在考慮這一點。

“是的,這當然是可能的,”漢考克說。 “我們試圖避免與 Gravity Forms 可用的第 3 方附加組件發生衝突,以鼓勵它們的發展,”漢考克說。 “但不幸的是,這並不總是可以避免的。 這是一個過去曾被多次請求的功能,我懷疑隨著 GDPR 的出現,這將是一個在未來會被更多請求的功能。”