【2020年10月16日】(欧洲希望之声李木子综合编译)今天(10月16日)历时2年的英国航空公司(British Airways,缩写BA)因信息泄露而被英国资讯专员办公室(Information Commissioner’s Office,缩写:ICO)处罚的事件终于尘埃落定,罚款金额虽从2019年公布的1.83亿英镑下降到2千万英镑(合2600万美元),但它仍然是ICO迄今为止开出的最大罚单。
ICO调查结果表明:英航数据泄露发生在2018年8月21日至9月5日间,黑客入侵并对系统程序进行了修改从而可以在客户输入个人信息时进行数据收集,共造成429,612名客户和员工的个人数据被泄露,包括244,000名BA客户的姓名,地址,付款的银行卡号和安全密码(CVV),其中77,000名客户和卡号和CVV密码均被盗,另外108,000名客户的部分信息被盗。还有BA员工和管理员帐户的用户名和密码被盗,以及多达612个英航会员俱乐部会员帐户的用户名和密码可能被泄露。最可怕的是,BA从未检测到被攻击,直到数据泄露两个月后,由第三方的安全研究人员发现了问题。
该罚款是英国资讯专员办公室根据欧盟数据法规GDPR发出的第一个主要罚款,整个欧洲其他地区都在密切关注这一潜在的具有里程碑意义的判决。最初在2019年公布的对英国航空公司罚款为1.84亿英镑的提议,是根据英国航空公司2018年收入的1.5%计算的,但鉴于英航(与其他航空公司一样)因COVID-19的影响而面临的严重经济冲击以及英航为解决这一问题而做出的努力,因此决定降低罚款。
尽管罚款金额减少了,不过信息专员伊丽莎白·丹纳姆(Elizabeth Denham)在一份声明中强调:“客户基于信任将他们的个人信息交给英航,英航没有采取足够的措施来确保这些信息的安全。他们的行为是不可接受的,影响了成千上万的人,会造成一些个人的焦虑和困扰。因此,我们向英国航空公司给出了2千万英镑的罚款,这是我们迄今为止最大的一笔罚单。当组织机构对个人数据做出错误的决定时,可能会对人们的生活产生真正的影响。现在,法律鼓励企业在有关个人数据的问题上做出更佳的决策,包括投资发展最新的安全技术。” ICO认为由于BA存在“安全性弱点”,在当时的安全系统(程序和软件)下,泄露其实是可以避免的。
BA在随后的声明中表示他们已全面配合调查并且已获知最终罚款减少。
近年来,旅行和酒店业也发生了多起数据泄露事件,例如,今年5月easyJet的900万条记录泄露;国泰航空公司(Cathay Pacific)在今年早些时候被罚款50万英镑,因其全球950万顾客(在英国大约有111,000客户)的信息泄露,最大的是万豪酒店(Marriott)的数据泄露,据估计有约5亿人受到影响。
(欧洲希望之声综合编译,转载请注明出处和链接)
相关