近日，英國數(shù)據(jù)安全監(jiān)管部門(ICO)大刀闊斧地對涉及數(shù)據(jù)泄露的企業(yè)做出了處罰，先后開出兩張巨額罰單，英國航空、萬豪酒店紛紛中槍。在此次事件中心，有一個“幕后推手”發(fā)揮著重要的作用，它就是 2018 年 5 月 25 日由歐盟推出的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，簡稱 GDPR)。GDPR 自推出之時曾被坊間稱為“歐洲最嚴(yán)隱私法案“，Google，F(xiàn)acebook 等科技巨頭都曾受到監(jiān)管。然而，與今年 1 月 Google 遭法國當(dāng)局罰款 5000 萬歐元的情況不同，外媒對最近接連曝出的兩起事件表示了一定程度的驚訝，尤其是對英國航空即將面臨 1.83 億英鎊罰款的消息，因為它是 ICO 根據(jù) GDPR 做出的第一次處罰，同時也是 ICO 開出的最大一筆罰單。不難看出，巨額罰款的背后也表明了 ICO 未來在保護數(shù)據(jù)安全方面的決心。

最近幾年，數(shù)據(jù)泄露事件時有發(fā)生。2018 年 3 月，F(xiàn)acebook 被曝出 8700 多萬用戶的數(shù)據(jù)泄露，F(xiàn)acebook 創(chuàng)始人 Mark Elliot Zuckerberg 公開道歉，其市值因此大幅下跌;同月，美國運動品牌 Under Armour 旗下的健身應(yīng)用 MyFitnessPal 因存在數(shù)據(jù)漏洞，遭到黑客攻擊，造成超過 1.5 億用戶的數(shù)據(jù)外泄。2018 年 8 月，華住旗下所有酒店的數(shù)據(jù)被曝公開售賣，涉及數(shù)據(jù)達 5 億條之巨……可以說，每一起數(shù)據(jù)泄露事件的發(fā)生都會對企業(yè)帶來毀滅性的影響。然而，用戶損失卻很少有人問津。近日，ICO 對兩家公司的處罰決定讓企業(yè)為用戶損失買了單。

 

 

ICO 開出首張巨額罰單：英國航空 1.83 億英鎊

根據(jù)英國航空的說法，數(shù)據(jù)泄露事件發(fā)生在 2018 年 8 月 21 日至 9 月 5 日之間。網(wǎng)絡(luò)攻擊者在英國航空公司的網(wǎng)站與移動應(yīng)用程序中植入了一個病毒版本的 Modernizr JavaScript 庫。隨后，用戶被轉(zhuǎn)到一個虛假欺詐網(wǎng)站，導(dǎo)致約 50 萬名用戶的多種信息被攻擊者竊取。其中包括用戶姓名與地址、登錄信息、支付卡信息、旅行預(yù)定詳情等。但是，人們從 ICO 方面了解到，此次數(shù)據(jù)泄露早在 2018 年 6 月已經(jīng)開始。

一些專業(yè)人士就引起數(shù)據(jù)泄露的技術(shù)問題進行了分析。第三方安全管理供應(yīng)商 Panorays 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Matan Or-El 表示，黑客需要能夠替換英國航空公司網(wǎng)站上的某些文件，才能植入有毒庫。然而，這取決于有問題的 JavaScript 庫是否真的位于英國航空的資源上。應(yīng)用安全公司 ImmuniWeb 的創(chuàng)始人兼首席執(zhí)行官 Ilia Kolochenko 補充說，“如今，有許多錯綜復(fù)雜的途徑將惡意代碼注入合法頁面。例如，有時開發(fā)人員錯誤地輸入托管外部 [JavaScript] 庫的域名，攻擊者只需注冊域名并在其中放置惡意軟件，而不是庫。其他公司購買他們自己的域來托管第三方代碼，然后忘記更新域名，將這個機會交給了網(wǎng)絡(luò)攻擊者。”

目前，英國航空已配合 ICO 展開調(diào)查，并對安保系統(tǒng)進行了完善。

英國航空因數(shù)據(jù)泄露受罰是自 GDPR 生效以來 ICO 公布的第一次處罰。此次罰款金額約占其 2017 年全年營收的 1.5%，英國航空對此表示“驚訝和失望”。技術(shù)記者 Rory Cellan-Jones 表示，這一罰款金額令人“脊背發(fā)涼”。“畢竟這個數(shù)字大約是 Facebook 罰金的 367 倍，但兩起事件所依據(jù)的法規(guī)不同，根據(jù) GDPR，最高罰款金額可達年營收的 4%。”據(jù)了解，F(xiàn)acebook 曾因劍橋分析丑聞被處以 50 萬英鎊的巨額罰款，這是此前數(shù)據(jù)保護規(guī)定下的最高罰金，當(dāng)時 GDPR 還未實施。

接到處罰通知后，英國航空有 20 天的上訴期。其母公司國際航空集團 (IAG)首席執(zhí)行官 Willie Walsh 表示，“我們試圖采取所有適當(dāng)措施來積極捍衛(wèi)英國航空，包括提出上訴” 。英國航空方面稱，公司對于竊取用戶數(shù)據(jù)的犯罪行為反應(yīng)迅速，且并沒有發(fā)現(xiàn)與這名黑客相關(guān)的賬戶欺詐活動。

至于罰款的流向，據(jù)了解，罰金中分給 ICO 的部分將直接轉(zhuǎn)入英國財政部，剩余部分會在其它受影響的歐洲數(shù)據(jù)當(dāng)局之間劃分。

萬豪緊隨其后 被罰 9920 萬英鎊

在 ICO 對英國航空開出罰單的第二天，萬豪同樣接到了處罰通知。

2018 年 11 月，該公司泄露了約 5 億名客戶的記錄，因而被處以 9920 萬英鎊的罰款。與英國航空的情況不同，萬豪的數(shù)據(jù)泄露事件還涉及到 2016 年對喜達屋的收購。

據(jù)悉，2014 年喜達屋的系統(tǒng)遭到入侵后，該漏洞就已經(jīng)開始出現(xiàn)。2015 年 11 月，喜達屋被萬豪收購。但直到 2018 年底，用戶數(shù)據(jù)泄露的情況才被萬豪發(fā)現(xiàn)。在這四年間，全球約 3.39 億條客座記錄中的個人數(shù)據(jù)泄露。其中，約 3000 萬條與歐洲經(jīng)濟區(qū) (EEA) 的 31 個國家的用戶有關(guān)，700 萬條與英國居民有關(guān)。這些數(shù)據(jù)包括客戶姓名、郵寄地址、電話號碼、電子郵箱、護照號碼、喜達屋首選的客戶賬戶信息、抵離信息、預(yù)訂日期和溝通偏好等等。

ICO 認(rèn)為，萬豪在企業(yè)并購時缺乏全面的調(diào)查。信息專員 Elizabeth Denham 在一份聲明中指出：“GDPR 明確規(guī)定，組織必須對其持有的個人數(shù)據(jù)負(fù)責(zé)。這包括收購時進行適當(dāng)?shù)谋M職調(diào)查，采取適當(dāng)?shù)膯栘?zé)措施，以評估所取得的個人資料，并確保如何保障這些資料的安全。”安防公司 AttackIQ Inc. 的首席信息安全長 Chris Kennedy 評價，“并購是企業(yè)所能承擔(dān)的風(fēng)險最大的事情之一……在此次并購中，測試當(dāng)前安全系統(tǒng)的韌性本可以幫助其及時發(fā)現(xiàn)漏洞，避免更嚴(yán)重的影響產(chǎn)生。”

盡管此次事件中大部分由黑客攻擊導(dǎo)致的數(shù)據(jù)泄露發(fā)生在 GDPR 出臺之前，但處罰決定是根據(jù) 2018 年 5 月生效的 GDPR 做出的。

目前，萬豪有 28 天的時間對該決定提出上訴。萬豪國際總裁兼首席執(zhí)行官 Arne Sorenson 表示，“我們對 ICO 的意向通知感到失望，并將對此進行抗辯。”

2019 年，GDPR 的亮劍之年?

從上述兩起數(shù)據(jù)泄露事件中，人們可以清晰地看到 GDPR 的金融手段正在不斷激起大公司對數(shù)據(jù)安全方面的思考。與此同時，GDPR 本身也再次走入大眾關(guān)注的視野。

GDPR是歐盟議會于 2016 年 4 月通過的有關(guān)用戶數(shù)據(jù)保護的新規(guī)，前身是歐盟于 1995 年頒布的《數(shù)據(jù)保護指令》。經(jīng)過兩年過渡期后，于 2018 年 5 月 25 日正式生效。該法規(guī)被認(rèn)為是 20 年間歐盟對數(shù)據(jù)隱私保護影響最大的法規(guī)。

與 1995 年出臺的“指令”不同，GDPR 具有強制力，不要求政府通過任何立法。此外，在適用范圍、數(shù)據(jù)主體權(quán)利、個人同意條件、數(shù)據(jù)處理者責(zé)任、隱私保護、影響評估、執(zhí)法與處罰力度等十余個維度都給出了更明確的限定，提出了更高的要求。有觀點稱，如果說 1995 年的“指令”主要適用于控制者，處理者通過合同承擔(dān)數(shù)據(jù)保護責(zé)任。那么，GDPR 對控制者、處理者在多數(shù)情況下均提出了相同的要求。例如，承擔(dān)對數(shù)據(jù)的安全保障義務(wù)，在管理措施、技術(shù)上采取必要措施，包括指定 DPO、在發(fā)生數(shù)據(jù)泄露事故時及時報告控制者等。業(yè)內(nèi)人士稱，英國航空和萬豪酒店罰款的部分后果可能導(dǎo)致數(shù)據(jù)控制者爭先恐后地與數(shù)據(jù)處理商重新協(xié)商合同中的責(zé)任。更進一步的是，GDPR 對于處理者的專門規(guī)定，深入到了處理者(云服務(wù)商)與控制者(云客戶)之間的權(quán)利義務(wù)關(guān)系配置，而在過去，這些內(nèi)容則完全交由合同、市場自行處理。

今年 5 月，ICO 出版了《GDPR：One Year On》，該報告講述了自 2018 年 5 月 25 日生效以來 GDPR 帶來的影響與形成的經(jīng)驗。報告重申了 ICO 基于風(fēng)險的執(zhí)法方法，主要關(guān)注了涉及大量個人與弱勢群體的高度敏感信息的 GDPR 違規(guī)行為。報告?zhèn)鬟f出的一個重要訊息是，“要想真正嵌入 GDPR 并讓人們充分理解新立法的影響，還有很長的路要走。”

據(jù)ICO2018-2019 年度報告顯示，ICO 在本年度曾做出 22 次金融處罰，涉及 Equifax，F(xiàn)acebook，Uber，Yahoo 等公司。據(jù)外媒 The Register 報道，截至 2018 年 4 月，ICO 為數(shù)據(jù)泄露事件開出了共計 300 萬英鎊的罰單，而這僅僅是最近曝出的 GDPR 對英國航空公司和萬豪酒店的處罰的一小部分。盡管如此，兩家公司面臨的罰款金額的的絕對數(shù)量遠(yuǎn)低于 GDPR 允許的最高限額。但是在 GDPR 生效以前，根據(jù)英國的數(shù)據(jù)保護法案，最高罰款“僅”為 50 萬英鎊。ICO 的決定充分表明其未來并不打算避免征收巨額罰款，不難想象，這與近期大量網(wǎng)絡(luò)數(shù)據(jù)泄露事件成正比。因此，這會是 ICO 推進 GDPR 的轉(zhuǎn)折點嗎?

ICO 指出，GDPR 第二年的工作重點在于要求“(企業(yè)或組織)不得只遵守最低標(biāo)準(zhǔn)。組織需要將重點轉(zhuǎn)向問責(zé)制，真正理解它們的數(shù)據(jù)處理方式會給個人帶來什么樣的風(fēng)險，以及如何減少這些風(fēng)險，而為直接公開發(fā)行提供良好的支持是實現(xiàn)有效問責(zé)的核心“。盡管支持 GDPR 的多利益相關(guān)方專家組(MEG)擔(dān)心部分部門可能缺少有效資源來執(zhí)行新任務(wù)，但 ICO 至少已經(jīng)開始發(fā)展配合其新權(quán)力與責(zé)任的人員。未來，該組織將專注于各類監(jiān)管(例如網(wǎng)絡(luò)安全)，并努力在全球隱私和信息權(quán)利領(lǐng)域發(fā)揮重要的領(lǐng)導(dǎo)作用。當(dāng)然，光鮮的成績單背后，ICO 顯然還有許多工作要做。

CrownPeak 產(chǎn)品管理總監(jiān) Gabe Morazan 在評價最近 GDPR 開出的兩筆巨額罰單時還提到，“如果你看看通過 RTB 網(wǎng)絡(luò)和程序化廣告收集和傳遞的數(shù)據(jù)量，就會發(fā)現(xiàn)，這是一筆龐大的消費者數(shù)據(jù)，有可能在規(guī)模和范圍上(受到英國航空和萬豪罰款影響的客戶)類似”。他總結(jié)道，“2019 年是(GDPR 的)執(zhí)行之年”。

相關(guān)文章：

British Airways faces record £183m fine for data breach

GDPR bites again: Marriott facing $123.6M fine for 2018 data breach

‘2019 is the year of enforcement’: GDPR fines have begun

作者：王文婧

譯者：井玉倩

標(biāo)簽： 數(shù)據(jù)泄露 數(shù)據(jù)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。