【猎云网(微信号:ilieyun)】7月9日报道 (编译:Henry)
英国航空公司(BA)在2018年的数据安全事件中泄露约50万名乘客的私人信息,该公司目前或将被处以2.3亿美元的罚款,约合人民币15.9亿。
英国信息专员办公室(ICO)表示,他们已经向英国航空公司发出了处罚通知书,要求其支付这项巨额罚款,目前该公司还有28天的时间可以在ICO确认最终罚金之前进行上诉。
根据ICO的说法,这起数据泄露事件始于2018年3月,也就是英国航空公司公开事件的三个月前,其主要原因是英航的“安全措施失位”。在该事件中,黑客利用匿名的第三方身份设立了一个钓鱼网站,用于接收英航服务器的重定向流量,并以此窃取用户个人数据,其中包括账号登录信息、信用卡信息、姓名、地址和行程预订情况等。
《通用数据保护条例》有史以来的最高罚款
根据《通用数据保护条例》(GDPR),公司必须在发现数据泄露情况后的72小时内向相应的欧洲当局进行报告,该条例还规定欧盟集团内的本地数据保护机构可以对发生数据泄露的公司最高处以其年度总收入4%的罚款。英航去年的收入约为150亿美元,这意味着拟议的ICO罚款相当于英航2017年总收入的1.5%左右,远低于最高罚金4%。
但英航的这次罚款依然是自去年《通用数据保护条例》生效以来的最高罚款。虽然自该条例生效起,早有一些公司因不同程度的数据泄露事件而依据《通用数据保护条例》被处以罚款,但大多数罚金都是数十万或数十万欧元,唯一的例外也只有谷歌。法国数据隐私机构CNIL在1月份以“缺乏透明度”和“关于用户个性化广告推送的信息公开不足”为由,对谷歌处以了5000万欧元(约合3.9亿人民币)的罚款。值得注意的是,Facebook的剑桥Analytica事件却只被罚款50万英镑(约合430万人民币),当然,那时《通用数据保护条例》还未生效。
英国情报局局长Elizabeth Denham表示:“所谓的用户个人数据,讲的就是这些数据的私密性,当一个组织未能保护它免受损失、损坏或被盗时,这为人们带来的就不是“不便”那么简单了。这也是为什么要对保护用户个人数据明文规定的原因,当人们将其私密数据委托给某方时,该方有义务确保这些数据的安全。那些没有保护好用户个人数据的组织将会面临我们英国情报局的审查,并交由我们判断他们是否已采取适当措施保护这些私密数据。”
ICO表示,自事件发生以来,英航已对其采用的安全措施进行了改进。
《通用数据保护条例》因其较为严格的规定和各种各样的罚款一直都遭到许多公司的病垢,比如之前像在线报社一样的媒体公司会选择在下线发行报纸,以避免巨额罚款,但自《通用数据保护条例》生效以后,它使得整个欧洲范围内的数据保护法执行的更加严格,不论线上还是线下,并确保互联网用户拥有管理其数据的控制机制。同时为了更好地适应《通用数据保护条例》,谷歌将其欧洲数据的控制权从美国转移到了爱尔兰。
由于《通用数据保护条例》和世界各地其他类似法规的兴起,许多初创公司也开始着眼于用户们对数据主权和隐私工具不断增长的需求。例如,Privitar(一家用户行为数据分析服务公司)最近获得了4000万美元的融资用以开发一个数据保护相关的平台,该平台可在确保用户私人信息安全的前提下,帮助企业的工程师对可能包含私人敏感信息的项目进行操作。另外,InCountry公司也斥资700万美元,为跨国公司提供用户个人数据的本地存储服务。