對英國航空公司來說,這一周開始得不太美好。
當地時間7月8日早上,英國信息專員辦公室(Information Commissioner’s Office, ICO)決定,對去年英國航空50萬用戶信息洩露一事開出1.83億英鎊(大約人民幣15.8億元)的罰單——這是歐盟《一般管理條例》(GDPR)生效以來的最高金額罰單,約佔英國航空2018年收入的1.5%。
去年9月,英國航空向當地數據主管部門ICO通報了一起網絡事件,稱從6月開始,其官網上的用戶流量被劫持到了一個欺詐網站,50萬名用戶的姓名、住址、账號密碼、信用卡信息和訂單信息遭到洩露,並被攻擊者截獲。
ICO調查發現,英國航空公司脆弱的安全防護措施是造成這起信息洩露的重要原因。在ICO展開調查以後,英國航空已經配合監管機關做了一些改進。
“人們的個人數據只能屬於個人”,信息專員Elizabeth Denham表示,“這就是為什麽法律規定得很清楚:當別人信任你能保護好個人數據時,你必須看好它,否則就將面臨我們的嚴格審查,以確保采取了適當措施去保護基本的隱私權。”
不過,英國航空及其母公司IAG對這樣的調查結果並不“買账”。
英國航空主席兼首席執行官Alex Cruz公開表示,公司對於ICO的決定感到“驚訝和失望”。他認為,英國航空在本次盜竊用戶數據的犯罪行為中反應迅速,目前尚未發現證據表明任何受影響账戶存在欺詐活動。
值得注意的是,在ICO下達最終決定之前, 英國航空有28天的時間上訴,以及對罰款金額提出異議。
根據IAG的首席執行官Willie Walsh的聲明,英國航空將就罰款金額對ICO做出陳述。“我們打算采取一切適當措施,積極捍衛航空公司的地位,包括提出任何必要的上訴”,他說。
本次1.83億英鎊的罰單開出之後,ICO對Facebook劍橋分析事件開出的50萬英鎊(大約人民幣430.7萬元)“史上最高”罰單就此作古,時隔不過一年。
不過,彼時ICO的判罰依據還是英國1998年的《數據保護法案》,50萬英鎊已經是罰金上限。GDPR生效之後,違法公司可能面臨高達全球營收4%的罰款。
根據估算,此次1.83億英鎊約佔英國航空2018年總收入的1.5%。在金融分析師George Salmon看來,這筆罰款將對IAG的財務狀況產生“相當大的影響”。“這筆罰款可以提醒大家,也許你以為數據風險跟谷歌、Facebook這些科技巨頭關係更大,但實際上,只要是持有用戶數據的企業都在新的法規(GDPR)監管之下。”
一直以來,ICO作為其他歐盟成員國的數據保護機構代表牽頭調查此案件,期間也與其他機構保持聯絡。根據GDPR“一站式服務”的規定,如果有其他成員國的居民受到影響,該國的數據保護機構也將有機會對ICO的調查結果發表意見。
編譯/綜合:南都個人信息保護研究中心研究員蔣琳
香港九龍灣馬來街興發大廈15樓D室