文章总结： 法国CNIL对FreeMobile及其母公司开出4200万欧元GDPR罚单，因2024年10月黑客利用薄弱VPN认证窃取2463万用户数据含IBAN，企业未履行安全、告知、保留及上报义务，需在3个月内完成安全整改并持续接受监督，事件凸显电信行业合规底线。 综合评分： 88 文章分类： 数据安全,政策法规,安全运营,漏洞预警,安全大事件

2400万用户数据泄露，Free Mobile被罚4200万欧元

安在

2026年1月16日 18:34 上海

【环球网科技综合报道 记者 XXX】当地时间 2026 年 1 月 13 日，法国国家信息与自由委员会（CNIL）作出重磅处罚决定，对法国第二大电信运营商 Free Mobile 及其母公司 Free 合计处以 4200 万欧元罚款，其中 Free Mobile 被罚 2700 万欧元，母公司 Free 被罚 1500 万欧元，处罚决定于 1 月 14 日正式公示，成为法国数据保护领域近年来金额最高的罚单之一。

据悉，此次处罚源于 2024 年 10 月发生的大规模数据泄露事件。当时黑客通过 Free 集团薄弱的员工远程访问 VPN 认证系统侵入网络，成功获取了其用户管理工具权限，窃取了涵盖 2463 万余份固定及移动用户合同数据，包括约 25% 用户的国际银行账户号码（IBAN）等敏感财务信息。黑客后续在暗网论坛以 “drussell x” 账号兜售相关数据，声称攻击影响 1920 万用户，事件曝光后引发超过 2500 起用户投诉，最终触发 CNIL 专项调查。

调查结果显示，两家企业存在多项违反《欧盟通用数据保护条例》（GDPR）的行为：一是未履行数据安全保障义务（GDPR 第 32 条），VPN 认证机制薄弱、异常行为监测系统失效，为黑客入侵提供可乘之机；二是未充分保障用户知情权（GDPR 第 34 条），数据泄露后向用户发送的通知邮件缺乏风险细节、后果说明及应对指引；三是数据保留违规（GDPR 第 5 条第 1 款 e 项），过度留存已终止服务用户数据，超出会计核算所需合理期限；四是未按时履行泄露上报义务，未在 GDPR 规定的 72 小时内完整向 CNIL 披露泄露细节。

CNIL 在处罚声明中强调，作为大型电信运营商，Free 集团本应承担数据保护示范责任，但此次泄露暴露的是系统性安全管理缺陷，而非偶然疏漏，且涉及用户规模庞大、数据敏感度高，对用户财产安全构成严重威胁，因此作出高额罚款决定以形成行业震慑。

根据要求，Free Mobile 及 Free 需在 3 个月内完成系统安全升级，提交第三方安全审计报告，修复所有安全漏洞；1 个月内建立数据泄露 72 小时快速上报机制；2 个月内清理超期留存数据，优化用户数据授权与删除渠道；6 个月内完成全体员工 GDPR 合规培训并提交证明。CNIL 将全程跟踪整改情况，若未达标将追加处罚。

对此，Free 集团回应称，该处罚力度 “前所未有”，与过往网络攻击处理方式存在差异，将向法国宪法委员会提起申诉，同时强调自事件发生后已全面强化安全架构建设。值得注意的是，此次事件并非法国电信行业个例，2025 年 7 月 Orange France、8 月 Bouygues telecom 均先后发生数据泄露或服务中断事件，凸显欧洲电信行业数据安全防护的紧迫性。

此次处罚再次释放欧盟严格执行 GDPR 的监管信号，对于跨国企业而言，远程办公场景的 VPN 安全加固、敏感数据全生命周期管理、泄露事件快速响应等，已成为不可逾越的合规底线。

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

<

左滑了解更多详情

>

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

<

左滑了解更多详情

>

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 《2400万用户数据泄露，Free Mobile被罚4200万欧元》