英国航空50万乘客数据泄露,或面临2.3亿美元罚款

英国航空公司(BA)在2018年的数据安全事件中泄露约50万名乘客的私人信息,该公司目前或将被处以2.3亿美元的罚款,约合人民币15.9亿。

英国信息专员办公室(ICO)表示,他们已经向英国航空公司发出了处罚通知书,要求其支付这项巨额罚款,目前该公司还有28天的时间可以在ICO确认最终罚金之前进行上诉。

根据ICO的说法,这起数据泄露事件始于2018年3月,也就是英国航空公司公开事件的三个月前,其主要原因是英航的“安全措施失位”。在该事件中,黑客利用匿名的第三方身份设立了一个钓鱼网站,用于接收英航服务器的重定向流量,并以此窃取用户个人数据,其中包括账号登录信息、信用卡信息、姓名、地址和行程预订情况等。

《通用数据保护条例》有史以来的最高罚款

根据《通用数据保护条例》(GDPR),公司必须在发现数据泄露情况后的72小时内向相应的欧洲当局进行报告,该条例还规定欧盟集团内的本地数据保护机构可以对发生数据泄露的公司最高处以其年度总收入4%的罚款。英航去年的收入约为150亿美元,这意味着拟议的ICO罚款相当于英航2017年总收入的1.5%左右,远低于最高罚金4%。

但英航的这次罚款依然是自去年《通用数据保护条例》生效以来的最高罚款。虽然自该条例生效起,早有一些公司因不同程度的数据泄露事件而依据《通用数据保护条例》被处以罚款,但大多数罚金都是数十万或数十万欧元,唯一的例外也只有谷歌。法国数据隐私机构CNIL在1月份以“缺乏透明度”和“关于用户个性化广告推送的信息公开不足”为由,对谷歌处以了5000万欧元(约合3.9亿人民币)的罚款。值得注意的是,Facebook的剑桥Analytica事件却只被罚款50万英镑(约合430万人民币),当然,那时《通用数据保护条例》还未生效。

英国情报局局长Elizabeth Denham表示:“所谓的用户个人数据,讲的就是这些数据的私密性,当一个组织未能保护它免受损失、损坏或被盗时,这为人们带来的就不是“不便”那么简单了。这也是为什么要对保护用户个人数据明文规定的原因,当人们将其私密数据委托给某方时,该方有义务确保这些数据的安全。那些没有保护好用户个人数据的组织将会面临我们英国情报局的审查,并交由我们判断他们是否已采取适当措施保护这些私密数据。”

ICO表示,自事件发生以来,英航已对其采用的安全措施进行了改进。

《通用数据保护条例》因其较为严格的规定和各种各样的罚款一直都遭到许多公司的病垢,比如之前像在线报社一样的媒体公司会选择在下线发行报纸,以避免巨额罚款,但自《通用数据保护条例》生效以后,它使得整个欧洲范围内的数据保护法执行的更加严格,不论线上还是线下,并确保互联网用户拥有管理其数据的控制机制。同时为了更好地适应《通用数据保护条例》,谷歌将其欧洲数据的控制权从美国转移到了爱尔兰。

由于《通用数据保护条例》和世界各地其他类似法规的兴起,许多初创公司也开始着眼于用户们对数据主权和隐私工具不断增长的需求。例如,Privitar(一家用户行为数据分析服务公司)最近获得了4000万美元的融资用以开发一个数据保护相关的平台,该平台可在确保用户私人信息安全的前提下,帮助企业的工程师对可能包含私人敏感信息的项目进行操作。另外,InCountry公司也斥资700万美元,为跨国公司提供用户个人数据的本地存储服务。

AD:还在为资金紧张烦恼吗?猎云银企贷,全面覆盖京津冀地区主流银行及信托、担保公司,帮您细致梳理企业融资问题,统筹规划融资思路,合理撬动更大杠杆。填写只需两分钟,剩下交给我们! (来源:猎云网)

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。