如果独立应用开发者无意中没有保护用户的数据免受黑客攻击，他们会被罚款吗？

Question

我目前正在开发一个应用程序，用户将在其中存储敏感数据，这些数据将存储在互联网中(我将使用Firebase或类似的服务)。

我将尽我所能保护数据的安全(并通过安全连接或其他方式发送)，但无论如何，我是信息安全领域的完全初学者，我还在学习，但我担心我的应用程序的数据安全性无法胜任。

我的问题是，如果有人能够访问用户的数据，我(应用程序开发人员)会被罚款吗？还是只对违反国际数据安全的行为处以罚款？在我的情况下，这不是故意的，我将尽我最大的努力来保护数据。

另一个问题是:我应该知道哪些条例/标准/要求与数据安全有关？我只知道GDPR的规定。

Answer 1

首先，不要相信来自互联网上问答网站的任何法律建议。我不是律师，但我至少可以给你一些建议：

1. 这主要取决于你的管辖地。当涉及到网络安全时，法律在责任方面是相当不同的。您应该咨询熟悉您管辖范围内的软件责任的法律专家。
2. 数据安全只是游戏的一部分。被黑和泄露个人信息是一个严重的问题，但并不是唯一的问题。您的系统可能被破坏，并用于攻击他人或传播恶意软件/非法材料。如果系统在DDoS攻击期间不可用，您的用户可能会受到损害。清单不胜枚举。不要仅仅因为您遵循了所有的数据保护标准就认为您的应用程序是安全的。
3. 在确定合同时，你有一定程度的自由。同样，这取决于您的本地权限，但是通常您可以定义您的软件应该和不应该用于哪些用例或行业。你基本上可以说，你没有任何责任，你的软件不适合任何目的。你的客户不会喜欢的，但这是个选择。我们的目标是找到一个对各方都适用的中间立场。不要在你的合同中包括任何你不习惯的债务。再一次，这是一件很困难的事，找个法律顾问。
4. 在你的团队里找一个软件安全专家。你自己说的，你是信息安全领域的初学者。依赖于标准和安全框架只能让您了解到这一点。如果没有一个称职的合作伙伴来管理您的应用程序安全性，您将面临很高的风险。如果这是一个很小的开发项目，而且您的资金有限，那么在有限的时间内请一位安全顾问来处理最重要的主题。如果你负担得起，请一位专家加入你的团队。一个精通安全的开发人员不仅可以帮助完成安全任务，还可以帮助完成其他开发任务。
5. 关于安全标准..。老实说，根据你的描述，没有任何安全标准能做到这一点。应用程序安全是一个需要多年经验才能解决问题的领域，即使这样也很困难。我可以列出来自OWASP、NIST和许多其他的各种不同的安全标准，但是这些标准不是您的问题。这可能不是你所期望的答案，而是我对你的处境的诚实的看法。