英國GDPR重罰再出手，萬豪國際因素據外泄遭罰9900萬英鎊

繼昨天對英國航空客戶訂房資料庫遭入侵，波及W Hotels、喜來登、威斯汀、艾美等知名飯店的住客數據。英國信息專員辦公室（Information Commissioner』s Office，ICO）周二以違反GDPR法為由，計劃判罰萬豪99,200,396英鎊。

ICO去年11月接獲萬豪通報後啟動調查，報告顯示全球近3.4億名住客數據外泄，其中包括31個歐洲經濟區國家的3千萬居民以及7百萬英國居民。

這起事件的主角喜達屋飯店集團2014年即已被黑，而後該集團於2016年被萬豪國際收購，直到2018年問題才爆發。ICO認為萬豪在收購喜達屋前並未做充分的盡職調查，以致未能投入更多以確保系統安全。

ICO主席Elizabeth Denham指出，GDPR法規清楚規定企業有責任保障其持有的個人信息，包括在進行企業收購時，應做適當的盡職調查（due diligence）及具備適當的權責措施，以評估收購了何種個人信息、及要如何保障。她並指出個人信息有其價值，一如其他資產，企業有確保其安全性的法律責任。如果企業失職，ICO必要時不惜採取強制手段保護公眾權利。

不過ICO表示萬豪集團在調查過程中展現配合，也在事發後改善安全管理，因該如英航得以提出抗辯。而本事件影響到的其他歐盟國家也可以表達意見，以作為最終判決的參考。

萬豪周一通過向美國證管會遞交的文件對英國ICO的處分表達失望，將提出抗辯。該公司總裁暨首席執行官Arne Sorenson說，此事件源於喜達屋住客訂房資料庫遭犯罪攻擊，而且萬豪也積極配合ICO的調查。對於ICO的處分，萬豪將全力捍衛自己的立場。

此外，喜達屋遭黑的住客訂房數據已不再用於業務運營。該公司表示極為重視客戶信息的隱私和安全性，將持續致力於滿足客戶的期望標準。

英國航空本周因去年9月的數據外泄事件遭英國主管機關重罰1.83億英鎊，創下GDPR上路以來ICO祭出最嚴厲的處分。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！