近日,英國數據安全監管部門(ICO)大刀闊斧地對涉及數據泄露的企業做出了處罰,先後開出兩張鉅額罰單,英國航空、萬豪酒店紛紛中槍。在此次事件中心,有一個“幕後推手”發揮着重要的作用,它就是2018年5月25日由歐盟推出的《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)。GDPR自推出之時曾被坊間稱爲“歐洲最嚴隱私法案“,Google,Facebook等科技巨頭都曾受到監管。然而,與今年1月Google遭法國當局罰款5000萬歐元的情況不同,外媒對最近接連曝出的兩起事件表示了一定程度的驚訝,尤其是對英國航空即將面臨1.83億英鎊罰款的消息,因爲它是ICO根據GDPR做出的第一次處罰,同時也是ICO開出的最大一筆罰單。不難看出,鉅額罰款的背後也表明了ICO未來在保護數據安全方面的決心。
最近幾年,數據泄露事件時有發生。2018年3月,Facebook被曝出8700多萬用戶的數據泄露,Facebook創始人Mark Elliot Zuckerberg公開道歉,其市值因此大幅下跌;同月,美國運動品牌Under Armour旗下的健身應用MyFitnessPal因存在數據漏洞,遭到黑客攻擊,造成超過1.5億用戶的數據外泄。2018年8月,華住旗下所有酒店的數據被曝公開售賣,涉及數據達5億條之巨……可以說,每一起數據泄露事件的發生都會對企業帶來毀滅性的影響。然而,用戶損失卻很少有人問津。近日,ICO對兩家公司的處罰決定讓企業爲用戶損失買了單。
ICO開出首張鉅額罰單:英國航空 1.83億英鎊
根據英國航空的說法,數據泄露事件發生在2018年8月21日至9月5日之間。網絡攻擊者在英國航空公司的網站與移動應用程序中植入了一個病毒版本的Modernizr JavaScript庫。隨後,用戶被轉到一個虛假欺詐網站,導致約50萬名用戶的多種信息被攻擊者竊取。其中包括用戶姓名與地址、登錄信息、支付卡信息、旅行預定詳情等。但是,人們從ICO方面瞭解到,此次數據泄露早在2018年6月已經開始。
一些專業人士就引起數據泄露的技術問題進行了分析。第三方安全管理供應商Panorays的聯合創始人兼首席執行官Matan Or-El表示,黑客需要能夠替換英國航空公司網站上的某些文件,才能植入有毒庫。然而,這取決於有問題的JavaScript庫是否真的位於英國航空的資源上。應用安全公司ImmuniWeb的創始人兼首席執行官Ilia Kolochenko補充說,“如今,有許多錯綜複雜的途徑將惡意代碼注入合法頁面。例如,有時開發人員錯誤地輸入托管外部[JavaScript]庫的域名,攻擊者只需註冊域名並在其中放置惡意軟件,而不是庫。其他公司購買他們自己的域來託管第三方代碼,然後忘記更新域名,將這個機會交給了網絡攻擊者。”
目前,英國航空已配合ICO展開調查,並對安保系統進行了完善。
英國航空因數據泄露受罰是自GDPR生效以來ICO公佈的第一次處罰。此次罰款金額約佔其2017年全年營收的1.5%,英國航空對此表示“驚訝和失望”。技術記者Rory Cellan-Jones表示,這一罰款金額令人“脊背發涼”。“畢竟這個數字大約是Facebook罰金的367倍,但兩起事件所依據的法規不同,根據GDPR,最高罰款金額可達年營收的4%。”據瞭解,Facebook曾因劍橋分析醜聞被處以50萬英鎊的鉅額罰款,這是此前數據保護規定下的最高罰金,當時GDPR還未實施。
接到處罰通知後,英國航空有20天的上訴期。其母公司國際航空集團 (IAG)首席執行官Willie Walsh表示,“我們試圖採取所有適當措施來積極捍衛英國航空,包括提出上訴” 。英國航空方面稱,公司對於竊取用戶數據的犯罪行爲反應迅速,且並沒有發現與這名黑客相關的賬戶欺詐活動。
至於罰款的流向,據瞭解,罰金中分給ICO的部分將直接轉入英國財政部,剩餘部分會在其它受影響的歐洲數據當局之間劃分。
萬豪緊隨其後 被罰9920萬英鎊
在ICO對英國航空開出罰單的第二天,萬豪同樣接到了處罰通知。
2018年11月,該公司泄露了約5億名客戶的記錄,因而被處以9920萬英鎊的罰款。與英國航空的情況不同,萬豪的數據泄露事件還涉及到2016年對喜達屋的收購。
據悉,2014年喜達屋的系統遭到入侵後,該漏洞就已經開始出現。2015年11月,喜達屋被萬豪收購。但直到2018年底,用戶數據泄露的情況才被萬豪發現。在這四年間,全球約3.39億條客座記錄中的個人數據泄露。其中,約3000萬條與歐洲經濟區(EEA) 的31個國家的用戶有關,700萬條與英國居民有關。這些數據包括客戶姓名、郵寄地址、電話號碼、電子郵箱、護照號碼、喜達屋首選的客戶賬戶信息、抵離信息、預訂日期和溝通偏好等等。
ICO認爲,萬豪在企業併購時缺乏全面的調查。信息專員Elizabeth Denham在一份聲明中指出:“GDPR明確規定,組織必須對其持有的個人數據負責。這包括收購時進行適當的盡職調查,採取適當的問責措施,以評估所取得的個人資料,並確保如何保障這些資料的安全。”安防公司AttackIQ Inc.的首席信息安全長Chris Kennedy評價,“併購是企業所能承擔的風險最大的事情之一……在此次併購中,測試當前安全系統的韌性本可以幫助其及時發現漏洞,避免更嚴重的影響產生。”
儘管此次事件中大部分由黑客攻擊導致的數據泄露發生在GDPR出臺之前,但處罰決定是根據2018年5月生效的GDPR做出的。
目前,萬豪有28天的時間對該決定提出上訴。萬豪國際總裁兼首席執行官Arne Sorenson表示,“我們對ICO的意向通知感到失望,並將對此進行抗辯。”
2019年,GDPR的亮劍之年?
從上述兩起數據泄露事件中,人們可以清晰地看到GDPR的金融手段正在不斷激起大公司對數據安全方面的思考。與此同時,GDPR本身也再次走入大衆關注的視野。
GDPR是歐盟議會於2016年4月通過的有關用戶數據保護的新規,前身是歐盟於1995年頒佈的《數據保護指令》。經過兩年過渡期後,於2018年5月25日正式生效。該法規被認爲是20年間歐盟對數據隱私保護影響最大的法規。
與1995年出臺的“指令”不同,GDPR具有強制力,不要求政府通過任何立法。此外,在適用範圍、數據主體權利、個人同意條件、數據處理者責任、隱私保護、影響評估、執法與處罰力度等十餘個維度都給出了更明確的限定,提出了更高的要求。有觀點稱,如果說1995年的“指令”主要適用於控制者,處理者通過合同承擔數據保護責任。那麼,GDPR對控制者、處理者在多數情況下均提出了相同的要求。例如,承擔對數據的安全保障義務,在管理措施、技術上採取必要措施,包括指定DPO、在發生數據泄露事故時及時報告控制者等。業內人士稱,英國航空和萬豪酒店罰款的部分後果可能導致數據控制者爭先恐後地與數據處理商重新協商合同中的責任。更進一步的是,GDPR對於處理者的專門規定,深入到了處理者(雲服務商)與控制者(雲客戶)之間的權利義務關係配置,而在過去,這些內容則完全交由合同、市場自行處理。
今年5月,ICO出版了《GDPR:One Year On》,該報告講述了自2018年5月25日生效以來GDPR帶來的影響與形成的經驗。報告重申了ICO基於風險的執法方法,主要關注了涉及大量個人與弱勢羣體的高度敏感信息的GDPR違規行爲。報告傳遞出的一個重要訊息是,“要想真正嵌入GDPR並讓人們充分理解新立法的影響,還有很長的路要走。”
據ICO2018-2019年度報告顯示,ICO在本年度曾做出22次金融處罰,涉及Equifax,Facebook,Uber,Yahoo等公司。據外媒The Register報道,截至2018年4月,ICO爲數據泄露事件開出了共計300萬英鎊的罰單,而這僅僅是最近曝出的GDPR對英國航空公司和萬豪酒店的處罰的一小部分。儘管如此,兩家公司面臨的罰款金額的的絕對數量遠低於GDPR允許的最高限額。但是在GDPR生效以前,根據英國的數據保護法案,最高罰款“僅”爲50萬英鎊。ICO的決定充分表明其未來並不打算避免徵收鉅額罰款,不難想象,這與近期大量網絡數據泄露事件成正比。因此,這會是ICO推進GDPR的轉折點嗎?
ICO指出,GDPR第二年的工作重點在於要求“(企業或組織)不得只遵守最低標準。組織需要將重點轉向問責制,真正理解它們的數據處理方式會給個人帶來什麼樣的風險,以及如何減少這些風險,而爲直接公開發行提供良好的支持是實現有效問責的核心“。儘管支持GDPR的多利益相關方專家組(MEG)擔心部分部門可能缺少有效資源來執行新任務,但ICO至少已經開始發展配合其新權力與責任的人員。未來,該組織將專注於各類監管(例如網絡安全),並努力在全球隱私和信息權利領域發揮重要的領導作用。當然,光鮮的成績單背後,ICO顯然還有許多工作要做。
CrownPeak產品管理總監Gabe Morazan在評價最近GDPR開出的兩筆鉅額罰單時還提到,“如果你看看通過RTB網絡和程序化廣告收集和傳遞的數據量,就會發現,這是一筆龐大的消費者數據,有可能在規模和範圍上(受到英國航空和萬豪罰款影響的客戶)類似”。他總結道,“2019年是(GDPR的)執行之年”。
相關文章:
British Airways faces record £183m fine for data breach
GDPR bites again: Marriott facing $123.6M fine for 2018 data breach
‘2019 is the year of enforcement’: GDPR fines have begun