数据泄露天价罚单开出 英航、万豪将为用户损失买单

近日，英国数据安全监管部门（ICO）大刀阔斧地对涉及数据泄露的企业做出了处罚，先后开出两张巨额罚单，英国航空、万豪酒店纷纷中枪。在此次事件中心，有一个“幕后推手”发挥着重要的作用，它就是 2018 年 5 月 25 日由欧盟推出的《通用数据保护条例》（General Data Protection Regulation，简称 GDPR）。GDPR 自推出之时曾被坊间称为“欧洲最严隐私法案“，Google，Facebook 等科技巨头都曾受到监管。然而，与今年 1 月 Google 遭法国当局罚款 5000 万欧元的情况不同，外媒对最近接连曝出的两起事件表示了一定程度的惊讶，尤其是对英国航空即将面临 1.83 亿英镑罚款的消息，因为它是 ICO 根据 GDPR 做出的第一次处罚，同时也是 ICO 开出的最大一笔罚单。不难看出，巨额罚款的背后也表明了 ICO 未来在保护数据安全方面的决心。

最近几年，数据泄露事件时有发生。2018 年 3 月，Facebook 被曝出 8700 多万用户的数据泄露，Facebook 创始人 Mark Elliot Zuckerberg 公开道歉，其市值因此大幅下跌；同月，美国运动品牌 Under Armour 旗下的健身应用 MyFitnessPal 因存在数据漏洞，遭到黑客攻击，造成超过 1.5 亿用户的数据外泄。2018 年 8 月，华住旗下所有酒店的数据被曝公开售卖，涉及数据达 5 亿条之巨……可以说，每一起数据泄露事件的发生都会对企业带来毁灭性的影响。然而，用户损失却很少有人问津。近日，ICO 对两家公司的处罚决定让企业为用户损失买了单。

ICO 开出首张巨额罚单：英国航空 1.83 亿英镑

根据英国航空的说法，数据泄露事件发生在 2018 年 8 月 21 日至 9 月 5 日之间。网络攻击者在英国航空公司的网站与移动应用程序中植入了一个病毒版本的 Modernizr JavaScript 库。随后，用户被转到一个虚假欺诈网站，导致约 50 万名用户的多种信息被攻击者窃取。其中包括用户姓名与地址、登录信息、支付卡信息、旅行预定详情等。但是，人们从 ICO 方面了解到，此次数据泄露早在 2018 年 6 月已经开始。

一些专业人士就引起数据泄露的技术问题进行了分析。第三方安全管理供应商 Panorays 的联合创始人兼首席执行官 Matan Or-El 表示，黑客需要能够替换英国航空公司网站上的某些文件，才能植入有毒库。然而，这取决于有问题的 JavaScript 库是否真的位于英国航空的资源上。应用安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 补充说，“如今，有许多错综复杂的途径将恶意代码注入合法页面。例如，有时开发人员错误地输入托管外部[JavaScript]库的域名，攻击者只需注册域名并在其中放置恶意软件，而不是库。其他公司购买他们自己的域来托管第三方代码，然后忘记更新域名，将这个机会交给了网络攻击者。”

目前，英国航空已配合 ICO 展开调查，并对安保系统进行了完善。

英国航空因数据泄露受罚是自 GDPR 生效以来 ICO 公布的第一次处罚。此次罚款金额约占其 2017 年全年营收的 1.5%，英国航空对此表示“惊讶和失望”。技术记者 Rory Cellan-Jones 表示，这一罚款金额令人“脊背发凉”。“毕竟这个数字大约是 Facebook 罚金的 367 倍，但两起事件所依据的法规不同，根据 GDPR，最高罚款金额可达年营收的 4%。”据了解，Facebook 曾因剑桥分析丑闻被处以 50 万英镑的巨额罚款，这是此前数据保护规定下的最高罚金，当时 GDPR 还未实施。

接到处罚通知后，英国航空有 20 天的上诉期。其母公司国际航空集团 （IAG）首席执行官 Willie Walsh 表示，“我们试图采取所有适当措施来积极捍卫英国航空，包括提出上诉” 。英国航空方面称，公司对于窃取用户数据的犯罪行为反应迅速，且并没有发现与这名黑客相关的账户欺诈活动。

至于罚款的流向，据了解，罚金中分给 ICO 的部分将直接转入英国财政部，剩余部分会在其它受影响的欧洲数据当局之间划分。

万豪紧随其后 被罚 9920 万英镑

在 ICO 对英国航空开出罚单的第二天，万豪同样接到了处罚通知。

2018 年 11 月，该公司泄露了约 5 亿名客户的记录，因而被处以 9920 万英镑的罚款。与英国航空的情况不同，万豪的数据泄露事件还涉及到 2016 年对喜达屋的收购。

据悉，2014 年喜达屋的系统遭到入侵后，该漏洞就已经开始出现。2015 年 11 月，喜达屋被万豪收购。但直到 2018 年底，用户数据泄露的情况才被万豪发现。在这四年间，全球约 3.39 亿条客座记录中的个人数据泄露。其中，约 3000 万条与欧洲经济区(EEA) 的 31 个国家的用户有关，700 万条与英国居民有关。这些数据包括客户姓名、邮寄地址、电话号码、电子邮箱、护照号码、喜达屋首选的客户账户信息、抵离信息、预订日期和沟通偏好等等。

ICO 认为，万豪在企业并购时缺乏全面的调查。信息专员 Elizabeth Denham 在一份声明中指出：“GDPR 明确规定，组织必须对其持有的个人数据负责。这包括收购时进行适当的尽职调查，采取适当的问责措施，以评估所取得的个人资料，并确保如何保障这些资料的安全。”安防公司 AttackIQ Inc.的首席信息安全长 Chris Kennedy 评价，“并购是企业所能承担的风险最大的事情之一……在此次并购中，测试当前安全系统的韧性本可以帮助其及时发现漏洞，避免更严重的影响产生。”

尽管此次事件中大部分由黑客攻击导致的数据泄露发生在 GDPR 出台之前，但处罚决定是根据 2018 年 5 月生效的 GDPR 做出的。

目前，万豪有 28 天的时间对该决定提出上诉。万豪国际总裁兼首席执行官 Arne Sorenson 表示，“我们对 ICO 的意向通知感到失望，并将对此进行抗辩。”

2019 年，GDPR 的亮剑之年？

从上述两起数据泄露事件中，人们可以清晰地看到 GDPR 的金融手段正在不断激起大公司对数据安全方面的思考。与此同时，GDPR 本身也再次走入大众关注的视野。

GDPR是欧盟议会于 2016 年 4 月通过的有关用户数据保护的新规，前身是欧盟于 1995 年颁布的《数据保护指令》。经过两年过渡期后，于 2018 年 5 月 25 日正式生效。该法规被认为是 20 年间欧盟对数据隐私保护影响最大的法规。

与 1995 年出台的“指令”不同，GDPR 具有强制力，不要求政府通过任何立法。此外，在适用范围、数据主体权利、个人同意条件、数据处理者责任、隐私保护、影响评估、执法与处罚力度等十余个维度都给出了更明确的限定，提出了更高的要求。有观点称，如果说 1995 年的“指令”主要适用于控制者，处理者通过合同承担数据保护责任。那么，GDPR 对控制者、处理者在多数情况下均提出了相同的要求。例如，承担对数据的安全保障义务，在管理措施、技术上采取必要措施，包括指定 DPO、在发生数据泄露事故时及时报告控制者等。业内人士称，英国航空和万豪酒店罚款的部分后果可能导致数据控制者争先恐后地与数据处理商重新协商合同中的责任。更进一步的是，GDPR 对于处理者的专门规定，深入到了处理者（云服务商）与控制者（云客户）之间的权利义务关系配置，而在过去，这些内容则完全交由合同、市场自行处理。

今年 5 月，ICO 出版了《GDPR：One Year On》，该报告讲述了自 2018 年 5 月 25 日生效以来 GDPR 带来的影响与形成的经验。报告重申了 ICO 基于风险的执法方法，主要关注了涉及大量个人与弱势群体的高度敏感信息的 GDPR 违规行为。报告传递出的一个重要讯息是，“要想真正嵌入 GDPR 并让人们充分理解新立法的影响，还有很长的路要走。”

据ICO2018-2019年度报告显示，ICO 在本年度曾做出 22 次金融处罚，涉及 Equifax，Facebook，Uber，Yahoo 等公司。据外媒 The Register 报道，截至 2018 年 4 月，ICO 为数据泄露事件开出了共计 300 万英镑的罚单，而这仅仅是最近曝出的 GDPR 对英国航空公司和万豪酒店的处罚的一小部分。尽管如此，两家公司面临的罚款金额的的绝对数量远低于 GDPR 允许的最高限额。但是在 GDPR 生效以前，根据英国的数据保护法案，最高罚款“仅”为 50 万英镑。ICO 的决定充分表明其未来并不打算避免征收巨额罚款，不难想象，这与近期大量网络数据泄露事件成正比。因此，这会是 ICO 推进 GDPR 的转折点吗？

ICO 指出，GDPR 第二年的工作重点在于要求“（企业或组织）不得只遵守最低标准。组织需要将重点转向问责制，真正理解它们的数据处理方式会给个人带来什么样的风险，以及如何减少这些风险，而为直接公开发行提供良好的支持是实现有效问责的核心“。尽管支持 GDPR 的多利益相关方专家组（MEG）担心部分部门可能缺少有效资源来执行新任务，但 ICO 至少已经开始发展配合其新权力与责任的人员。未来，该组织将专注于各类监管（例如网络安全），并努力在全球隐私和信息权利领域发挥重要的领导作用。当然，光鲜的成绩单背后，ICO 显然还有许多工作要做。

CrownPeak 产品管理总监 Gabe Morazan 在评价最近 GDPR 开出的两笔巨额罚单时还提到，“如果你看看通过 RTB 网络和程序化广告收集和传递的数据量，就会发现，这是一笔庞大的消费者数据，有可能在规模和范围上（受到英国航空和万豪罚款影响的客户）类似”。他总结道，“2019 年是（GDPR 的）执行之年”。

相关文章：

British Airways faces record £183m fine for data breach

GDPR bites again: Marriott facing $123.6M fine for 2018 data breach

‘2019 is the year of enforcement’: GDPR fines have begun