近日,英国数据安全监管部门(ICO)大刀阔斧地对涉及数据泄露的企业做出了处罚,先后开出两张巨额罚单,英国航空、万豪酒店纷纷中枪。在此次事件中心,有一个“幕后推手”发挥着重要的作用,它就是2018年5月25日由欧盟推出的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)。GDPR自推出之时曾被坊间称为“欧洲最严隐私法案“,Google,Facebook等科技巨头都曾受到监管。然而,与今年1月Google遭法国当局罚款5000万欧元的情况不同,外媒对最近接连曝出的两起事件表示了一定程度的惊讶,尤其是对英国航空即将面临1.83亿英镑罚款的消息,因为它是ICO根据GDPR做出的第一次处罚,同时也是ICO开出的最大一笔罚单。不难看出,巨额罚款的背后也表明了ICO未来在保护数据安全方面的决心。
最近几年,数据泄露事件时有发生。2018年3月,Facebook被曝出8700多万用户的数据泄露,Facebook创始人Mark Elliot Zuckerberg公开道歉,其市值因此大幅下跌;同月,美国运动品牌Under Armour旗下的健身应用MyFitnessPal因存在数据漏洞,遭到黑客攻击,造成超过1.5亿用户的数据外泄。2018年8月,华住旗下所有酒店的数据被曝公开售卖,涉及数据达5亿条之巨……可以说,每一起数据泄露事件的发生都会对企业带来毁灭性的影响。然而,用户损失却很少有人问津。近日,ICO对两家公司的处罚决定让企业为用户损失买了单。
ICO开出首张巨额罚单:英国航空 1.83亿英镑
根据英国航空的说法,数据泄露事件发生在2018年8月21日至9月5日之间。网络攻击者在英国航空公司的网站与移动应用程序中植入了一个病毒版本的Modernizr JavaScript库。随后,用户被转到一个虚假欺诈网站,导致约50万名用户的多种信息被攻击者窃取。其中包括用户姓名与地址、登录信息、支付卡信息、旅行预定详情等。但是,人们从ICO方面了解到,此次数据泄露早在2018年6月已经开始。
一些专业人士就引起数据泄露的技术问题进行了分析。第三方安全管理供应商Panorays的联合创始人兼首席执行官Matan Or-El表示,黑客需要能够替换英国航空公司网站上的某些文件,才能植入有毒库。然而,这取决于有问题的JavaScript库是否真的位于英国航空的资源上。应用安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko补充说,“如今,有许多错综复杂的途径将恶意代码注入合法页面。例如,有时开发人员错误地输入托管外部[JavaScript]库的域名,攻击者只需注册域名并在其中放置恶意软件,而不是库。其他公司购买他们自己的域来托管第三方代码,然后忘记更新域名,将这个机会交给了网络攻击者。”
目前,英国航空已配合ICO展开调查,并对安保系统进行了完善。
英国航空因数据泄露受罚是自GDPR生效以来ICO公布的第一次处罚。此次罚款金额约占其2017年全年营收的1.5%,英国航空对此表示“惊讶和失望”。技术记者Rory Cellan-Jones表示,这一罚款金额令人“脊背发凉”。“毕竟这个数字大约是Facebook罚金的367倍,但两起事件所依据的法规不同,根据GDPR,最高罚款金额可达年营收的4%。”据了解,Facebook曾因剑桥分析丑闻被处以50万英镑的巨额罚款,这是此前数据保护规定下的最高罚金,当时GDPR还未实施。
接到处罚通知后,英国航空有20天的上诉期。其母公司国际航空集团 (IAG)首席执行官Willie Walsh表示,“我们试图采取所有适当措施来积极捍卫英国航空,包括提出上诉” 。英国航空方面称,公司对于窃取用户数据的犯罪行为反应迅速,且并没有发现与这名黑客相关的账户欺诈活动。
至于罚款的流向,据了解,罚金中分给ICO的部分将直接转入英国财政部,剩余部分会在其它受影响的欧洲数据当局之间划分。
万豪紧随其后 被罚9920万英镑
在ICO对英国航空开出罚单的第二天,万豪同样接到了处罚通知。
2018年11月,该公司泄露了约5亿名客户的记录,因而被处以9920万英镑的罚款。与英国航空的情况不同,万豪的数据泄露事件还涉及到2016年对喜达屋的收购。
据悉,2014年喜达屋的系统遭到入侵后,该漏洞就已经开始出现。2015年11月,喜达屋被万豪收购。但直到2018年底,用户数据泄露的情况才被万豪发现。在这四年间,全球约3.39亿条客座记录中的个人数据泄露。其中,约3000万条与欧洲经济区(EEA) 的31个国家的用户有关,700万条与英国居民有关。这些数据包括客户姓名、邮寄地址、电话号码、电子邮箱、护照号码、喜达屋首选的客户账户信息、抵离信息、预订日期和沟通偏好等等。
ICO认为,万豪在企业并购时缺乏全面的调查。信息专员Elizabeth Denham在一份声明中指出:“GDPR明确规定,组织必须对其持有的个人数据负责。这包括收购时进行适当的尽职调查,采取适当的问责措施,以评估所取得的个人资料,并确保如何保障这些资料的安全。”安防公司AttackIQ Inc.的首席信息安全长Chris Kennedy评价,“并购是企业所能承担的风险最大的事情之一……在此次并购中,测试当前安全系统的韧性本可以帮助其及时发现漏洞,避免更严重的影响产生。”
尽管此次事件中大部分由黑客攻击导致的数据泄露发生在GDPR出台之前,但处罚决定是根据2018年5月生效的GDPR做出的。
目前,万豪有28天的时间对该决定提出上诉。万豪国际总裁兼首席执行官Arne Sorenson表示,“我们对ICO的意向通知感到失望,并将对此进行抗辩。”
2019年,GDPR的亮剑之年?
从上述两起数据泄露事件中,人们可以清晰地看到GDPR的金融手段正在不断激起大公司对数据安全方面的思考。与此同时,GDPR本身也再次走入大众关注的视野。
GDPR是欧盟议会于2016年4月通过的有关用户数据保护的新规,前身是欧盟于1995年颁布的《数据保护指令》。经过两年过渡期后,于2018年5月25日正式生效。该法规被认为是20年间欧盟对数据隐私保护影响最大的法规。
与1995年出台的“指令”不同,GDPR具有强制力,不要求政府通过任何立法。此外,在适用范围、数据主体权利、个人同意条件、数据处理者责任、隐私保护、影响评估、执法与处罚力度等十余个维度都给出了更明确的限定,提出了更高的要求。有观点称,如果说1995年的“指令”主要适用于控制者,处理者通过合同承担数据保护责任。那么,GDPR对控制者、处理者在多数情况下均提出了相同的要求。例如,承担对数据的安全保障义务,在管理措施、技术上采取必要措施,包括指定DPO、在发生数据泄露事故时及时报告控制者等。业内人士称,英国航空和万豪酒店罚款的部分后果可能导致数据控制者争先恐后地与数据处理商重新协商合同中的责任。更进一步的是,GDPR对于处理者的专门规定,深入到了处理者(云服务商)与控制者(云客户)之间的权利义务关系配置,而在过去,这些内容则完全交由合同、市场自行处理。
今年5月,ICO出版了《GDPR:One Year On》,该报告讲述了自2018年5月25日生效以来GDPR带来的影响与形成的经验。报告重申了ICO基于风险的执法方法,主要关注了涉及大量个人与弱势群体的高度敏感信息的GDPR违规行为。报告传递出的一个重要讯息是,“要想真正嵌入GDPR并让人们充分理解新立法的影响,还有很长的路要走。”
据ICO2018-2019年度报告显示,ICO在本年度曾做出22次金融处罚,涉及Equifax,Facebook,Uber,Yahoo等公司。据外媒The Register报道,截至2018年4月,ICO为数据泄露事件开出了共计300万英镑的罚单,而这仅仅是最近曝出的GDPR对英国航空公司和万豪酒店的处罚的一小部分。尽管如此,两家公司面临的罚款金额的的绝对数量远低于GDPR允许的最高限额。但是在GDPR生效以前,根据英国的数据保护法案,最高罚款“仅”为50万英镑。ICO的决定充分表明其未来并不打算避免征收巨额罚款,不难想象,这与近期大量网络数据泄露事件成正比。因此,这会是ICO推进GDPR的转折点吗?
ICO指出,GDPR第二年的工作重点在于要求“(企业或组织)不得只遵守最低标准。组织需要将重点转向问责制,真正理解它们的数据处理方式会给个人带来什么样的风险,以及如何减少这些风险,而为直接公开发行提供良好的支持是实现有效问责的核心“。尽管支持GDPR的多利益相关方专家组(MEG)担心部分部门可能缺少有效资源来执行新任务,但ICO至少已经开始发展配合其新权力与责任的人员。未来,该组织将专注于各类监管(例如网络安全),并努力在全球隐私和信息权利领域发挥重要的领导作用。当然,光鲜的成绩单背后,ICO显然还有许多工作要做。
CrownPeak产品管理总监Gabe Morazan在评价最近GDPR开出的两笔巨额罚单时还提到,“如果你看看通过RTB网络和程序化广告收集和传递的数据量,就会发现,这是一笔庞大的消费者数据,有可能在规模和范围上(受到英国航空和万豪罚款影响的客户)类似”。他总结道,“2019年是(GDPR的)执行之年”。
相关文章:
British Airways faces record £183m fine for data breach
GDPR bites again: Marriott facing $123.6M fine for 2018 data breach
‘2019 is the year of enforcement’: GDPR fines have begun