英國航空50萬乘客數據泄露，或面臨2.3億美元罰款

【獵雲網（微信號：ilieyun）】7月9日報道 （編譯：Henry）

英國航空公司（BA）在2018年的數據安全事件中泄露約50萬名乘客的私人信息，該公司目前或將被處以2.3億美元的罰款，約合人民幣15.9億。

英國信息專員辦公室（ICO）表示，他們已經向英國航空公司發出了處罰通知書，要求其支付這項巨額罰款，目前該公司還有28天的時間可以在ICO確認最終罰金之前進行上訴。

根據ICO的說法，這起數據泄露事件始於2018年3月，也就是英國航空公司公開事件的三個月前，其主要原因是英航的「安全措施失位」。在該事件中，黑客利用匿名的第三方身份設立了一個釣魚網站，用於接收英航伺服器的重定向流量，並以此竊取用戶個人數據，其中包括賬號登錄信息、信用卡信息、姓名、地址和行程預訂情況等。

《通用數據保護條例》有史以來的最高罰款

根據《通用數據保護條例》（GDPR），公司必須在發現數據泄露情況後的72小時內向相應的歐洲當局進行報告，該條例還規定歐盟集團內的本地數據保護機構可以對發生數據泄露的公司最高處以其年度總收入4％的罰款。英航去年的收入約為150億美元，這意味著擬議的ICO罰款相當於英航2017年總收入的1.5％左右，遠低於最高罰金4%。

但英航的這次罰款依然是自去年《通用數據保護條例》生效以來的最高罰款。雖然自該條例生效起，早有一些公司因不同程度的數據泄露事件而依據《通用數據保護條例》被處以罰款，但大多數罰金都是數十萬或數十萬歐元，唯一的例外也只有谷歌。法國數據隱私機構CNIL在1月份以「缺乏透明度」和「關於用戶個性化廣告推送的信息公開不足」為由，對谷歌處以了5000萬歐元（約合3.9億人民幣）的罰款。值得注意的是，Facebook的劍橋Analytica事件卻只被罰款50萬英鎊（約合430萬人民幣），當然，那時《通用數據保護條例》還未生效。

英國情報局局長Elizabeth Denham表示：「所謂的用戶個人數據，講的就是這些數據的私密性，當一個組織未能保護它免受損失、損壞或被盜時，這為人們帶來的就不是「不便」那麼簡單了。這也是為什麼要對保護用戶個人數據明文規定的原因，當人們將其私密數據委託給某方時，該方有義務確保這些數據的安全。那些沒有保護好用戶個人數據的組織將會面臨我們英國情報局的審查，並交由我們判斷他們是否已採取適當措施保護這些私密數據。」

ICO表示，自事件發生以來，英航已對其採用的安全措施進行了改進。

《通用數據保護條例》因其較為嚴格的規定和各種各樣的罰款一直都遭到許多公司的病垢，比如之前像在線報社一樣的媒體公司會選擇在下線發行報紙，以避免巨額罰款，但自《通用數據保護條例》生效以後，它使得整個歐洲範圍內的數據保護法執行的更加嚴格，不論線上還是線下，並確保互聯網用戶擁有管理其數據的控制機制。同時為了更好地適應《通用數據保護條例》，谷歌將其歐洲數據的控制權從美國轉移到了愛爾蘭。

由於《通用數據保護條例》和世界各地其他類似法規的興起，許多初創公司也開始著眼於用戶們對數據主權和隱私工具不斷增長的需求。例如，Privitar（一家用戶行為數據分析服務公司）最近獲得了4000萬美元的融資用以開發一個數據保護相關的平台，該平台可在確保用戶私人信息安全的前提下，幫助企業的工程師對可能包含私人敏感信息的項目進行操作。另外，InCountry公司也斥資700萬美元，為跨國公司提供用戶個人數據的本地存儲服務。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！