個資被駭被重罰!英國開鍘英航71億元、萬豪39億元

英國歷史最悠久的航空公司英國航空(British Airways)於2018年6月遭駭客攻擊,50萬名乘客個資與信用卡資料外洩;跨國連鎖飯店集團喜達屋酒店(Starwood Hotels),也在同年的11月遭駭客入侵,多達3億名住客的個資被竊;英國資訊委員會辦公室(ICO)近日分別裁定,開罰英航1.83億英鎊(約71億元新台幣),以及和喜達屋母公司萬豪國際集團9,900萬英鎊(約39億元新台幣)。

英航和喜達屋的罰款是歐洲聯盟通用《數據保護規範》(GDPR)實行以來最高的紀錄,本次裁決之所以備受關注,是因為《GDPR》的規範廣泛但缺乏細節,企業難以掌握歐盟對法規的詮釋方向,包括安全措施如何才算「充足」的標準。而《GDPR》也一直有「史上最嚴」的稱號。

ICO主席德納姆(Elizabeth Denham)表示,《GDPR》規定企業有責任保護所持有的個資,包括在進行企業收購時,應做好適當的盡職調察及權責措施。德納姆指出,企業有確保個資安全性的法律責任,如果企業失職,ICO必要時會不惜採取強制手段以保護公眾權利。

有機會卻未補救 就會罰得重一點

英國網路安全公司首席研究員維斯紐斯基(Chet Wisniewski)指出,ICO的調查活動顯示專注於「疏於盡責」的公司,「例如問題長年發生,有許多機會卻仍未做好系統補救,ICO就會罰得重一點。」《GDPR》的規範可裁罰等同受罰企業全球營業額4%的罰金,這次英航和萬豪的罰金相當於各自營業額的1.5%。

而科技業兩大巨頭Google和臉書(Facebook)也各自為了年初的廣告平台客戶資料外洩案及臭名遠播的「劍橋分析」案,正接受《GDPR》調查中;若以2018年的年營收為計算基準,則Google恐怕要面臨最高50億美元(約1,500億元新台幣)的罰款,臉書則是22億美元(約690億元新台幣)。

就在不久前,ICO也以《GDPR》的規範對TikTok開罰