作者:Ingrid Lunden
来源:techcrunch
翻译:何渊,数据法盟主理人,上海交大数据法律研究中心执行主任
近日,英国历史上最大的数据违规处罚案尘埃落定。英国数据监管机构的信息专员办公室(ICO)宣布,将对英国航空公司罚款2000万英镑(2580万美元)。在这起事件中,英航遭受了两个月的网络攻击,因缺乏足够的安全措施来检测和防御,40多万客户的个人信息被泄露。
ICO原本计划对英航处以近1.84亿英镑的罚款,但鉴于英航(与其他航空公司一样)因COVID-19事件而面临的经济影响,以及英航为解决这一问题所做的工作,以及ICO在进一步调查中了解了数据泄露事件的性质,因此降低了罚款。
即使减少了处罚规模,ICO仍坚持其最初的结论:
信息专员伊丽莎白丹巴在声明中说,消费者把个人数据授权给英航,而英航没有采取足够的安全措施保护他们的个人数据。“他们不采取行动是不可接受的,影响了数十万人,因此造成了一些焦虑和痛苦。这就是为什么我们给英航开出了2000万英镑的罚款——这是我们迄今为止最大的一笔罚款。当组织对人们的个人数据做出错误的决定时,这会对人们的生活产生真正的影响。现在,这项法律为我们提供了鼓励企业对数据做出更好决定的工具,包括投资于最新的安全性。”
英航对此发表了自己的声明,表示已遵守调查,并承认减少了处罚额度。
一位发言人对TechCrunch说:“我们在得知2018年发生的针对我们系统的黑客攻击后立即通知了客户,很抱歉我们没有达到客户的预期。”。“我们很高兴ICO认识到,自攻击以来,我们在系统的安全性方面做了相当大的改进,我们全力配合调查。”
据我们所知,其中约1.5亿英镑的减少是由于ICO将导致袭击的黑客事件拼凑在一起,对英航的指责也比原来少了;另外600万英镑是根据英航的回应打折的,另外400万英镑作为ICO的新冠病毒政策的一部分被扣除,反映了新冠病毒大流行影响了英航的业务。
这一举措突显了新冠病毒大流行对监管的影响。在某些情况下,为了更快地解决可能影响业务增长的问题,我们看到监管机构试图加快对个案工作的响应速度,甚至将之前对绿灯活动的一些保留意见,比如电子滑板车案。
但就英航的罚款而言,我们看到了COVID-19影响的另一面:在相关公司已经陷入困境的情况下,监管机构选择在财务处罚方面采取不那么强硬的态度。这可能会改变影响,也会在监管机构如何应对未来的安全和数据保护案件从轻处理方面开创先例。
最初提议罚款英国航空公司1.84亿英镑,占英国航空公司2018日历年收入的1.5%,最初设定于2019年。当然,那是在冠状病毒大流行来袭之前,全球旅行受阻,许多航空公司因此大受影响。具有讽刺意味的是,最初的命令受到了许多经典的监管繁文缛节的约束,在本案中,这对英航有利,因为除了听取英航的意见,它还包括对公司在当前市场上的状况的评估。
“2019年6月,ICO向英航发出罚款意向通知,”ICO在其关于减少罚款的声明中指出。“作为监管程序的一部分,ICO考虑了英国航空公司的陈述以及COVID-19对其业务的经济影响,然后制定了最终处罚。”
虽然罚款较低,但调查结果的突出事实仍然是一样的:ICO认定英航“安全方面存在弱点”,可以通过当时可用的安全系统——程序和软件——加以预防。
因此,429612名客户和员工的数据被泄露,包括“24.4万名英航客户的姓名、地址、支付卡号和CVV号码”,ICO表示,7.7万名客户的综合卡号和CVV号以及仅针对10.8万名客户的卡号也被认为是违规行为的一部分,以及英航员工和管理员账户的用户名和密码,以及多达612个英国航空公司高管俱乐部账户的用户名和密码(最后两个似乎也没有完全核实)。
除此之外,英航从未察觉到这次攻击,它说:它是被第三方通知的。
国际刑事法庭称,其行动已经得到欧盟其他DPA的批准:这是因为袭击发生在英国仍在欧盟,因此调查是由国际劳工组织代表欧盟当局进行的。
就英航而言,这家航空公司是国际航空集团的一部分——通过大规模合并组建,还包括伊比利亚航空、爱尔兰航空、武林航空和其他品牌和运营商——一直致力于对其系统的安全性进行再投资。它还为“关注客户”提供为期12个月的信用检查/管理服务。
近年来,旅游和酒店业发生了多起数据泄露事件,不仅影响到了其他航空公司(例如,易捷航空(easyJet)和今年5月影响了900万条记录;国泰航空(Cathay Pacific)今年早些时候仅被罚款50万英镑,这一违规行为影响了全球950万名客户,约111000名客户在英国,但也有酒店,最大的是万豪网络钓鱼攻击估计已经影响了大约5亿人。(文章来源:数据法盟)