有鉴于客户资料外泄,英国资讯委员会办公室(ICO)近日分别开罚英航和万豪酒店 2 亿 3,000 万和 1 亿 2,300 万美元。正接受相关调查的科技业巨擘 Google 和 Facebook 则可能面临更高罚金。
英国航空(British Airways)和万豪酒店(Marriot)的获判罚金是欧洲联盟通用资料保护规则(General Data Protection Regulation,GDPR)施行一年多以来最高纪录。英航去年 6~9 月期间有约 50 万名客户的资料遭窃,万豪则是在去年 11 月让约 3 亿 3,900 万笔客户资料外流。两家公司有权、且已决定申诉。
GDPR 下重手之所以备受关注,其中一个主因是 GDPR 规范广泛,却缺乏细节,企业难以掌握欧盟主管单位的法规诠释方向,包括如何认定安全措施已达“充足”标准。
GDPR 最高可裁定相当于受罚企业全球营业额 4% 的罚金,英航和万豪遭判罚金则相当于各自营业额的 1.5%。
掌握大笔客户资料的网络平台 Google 和 Facebook 目前正接受 GDPR 调查。若以 2018 年的年营收为计算基准,则 Google 和 Facebook 恐面临最高分别为 50 亿和 22 亿美元的钜额罚锾。
英国 ICO 今年稍早指出,计划针对 Google 广告平台客户资料外泄一事进行调查,而 Google 早在 1 月即已遭 GDPR 的法国监管单位裁罚 5,700 万美元,理由包括管理“欠缺透明度”、使用者同意权行使管控不足等。
另一方面,Facebook 将 8,700 万笔用户个资分享给现已宣告破产的英国政治顾问公司“剑桥分析”(Cambridge Analytica),以用于政治研究和广告投放,却未善尽告知用户责任,已遭罚 64 万 4,000 美元,目前则因 Facebook 和 Instagram 平台对使用者账号名称和密码保护不足遭 GDPR 爱尔兰监管单位调查,恐面临更高罚金。
CNBC 报导,ICO 的惩罚性裁定在隐私保护领域颇不寻常,因为企业通常较易被视为网络犯罪的受害者,而非犯罪者。
英国网络安全公司首席研究员维斯纽斯基(Chet Wisniewski)认为,ICO 的调查活动显示,将专注于“疏于尽责”的公司:“若问题长年发生,而你明明有很多机会,却没做系统补救,ICO 就会罚重一点。”
(译者:陈韵聿;首图来源:shutterstock)
延伸阅读:
- 灾祸不断的 Facebook,又收到 200 万欧元罚单
- Google 即时竞价广告疑侵犯隐私,在欧盟遭控告
- 欧洲最严隐私保护法新规首罚,Google 被罚 5,000 万欧元