GDPR出手英国航空 因去年数据泄露面临2.3亿美元罚款
英国数据保护监管机构——英国信息专员办公室 (ICO) 本周一(7月8日)宣布称,他们已经向英国航空公司发出了处罚通知书,罚款总额为 183,390,000 英镑(约合 2.3 亿美元),处罚原因是英国航空公司 (BA) 在 2018 年的数据安全事件中泄露约 50 万名乘客的私人信息。
该罚款是在欧盟《通用数据保护条例》(GDPR) 的作用下征收的,是迄今为止欧洲出现的最高罚款记录。在 GDPR 正式生效后的前 9 个月内,欧盟征收的罚款总额为 55,955,871 欧元——其中 5000 万欧元是法国监管机构 CNIL 针对谷歌进行的单笔罚款金额。
2019 年 1 月 21 日,法国数据监管机构 CNIL 对谷歌处以 5000 万欧元的高额罚款,因谷歌违反《通用数据保护条例》(GDPR) 的透明性原则、提供充分信息以及针对个性化广告缺乏数据处理的合法性基础。具体来说,谷歌违反的行为包括两项:
1)违反透明性原则(GDPR第12条)和提供充分信息的义务(GDPR第13条);谷歌的隐私相关描述文件较多,且对于广告、地理位置等埋于较深的位置,需要用户多次跳转,被认定为不易访问;
2)个性化广告的处理行为缺乏处理的合法性基础,即不符合用户同意的要件(GDPR第6条)。
这是第一个明确的迹象,表明欧洲数据保护监管机构无惧使用GDPR对大型企业 “开刀”。世界各地那些对 GDPR 执行力度仍然抱有幻想的组织也无需继续观望了。GDPR 罚款与企业营业额已经有目的地联系在了一起,因此大型企业不能将数据保护罚款作为其必要运营成本的一部分。
值得注意的是,根据英国特许信息安全专业人员协会 (Chartered Institute of Information Security Professionals) 首席执行官Amanda Finch的说法,23% 的安全专业人士称(英国航空公司的数据泄露事件)是 2018 年最严重的安全事件之一,仅次于 Facebook 和剑桥分析公司的数据泄露丑闻。但是,Facebook 的剑桥分析公司事件却只被罚款50万英镑(约合 430 万人民币),当然,那时《通用数据保护条例》还未生效。50 万英镑的罚款对于 Facebook 这种规模的公司而言影响并不大;但是此次 1.83 亿英镑的罚款无疑会给英国航空公司的董事会和所有其他公司留下深刻影响。
据悉,英国航空公司于 2018 年 9 月 6 日对外透露称,其公司网络已经遭到破坏,网络犯罪分子可以获取 8 月 21 日- 9 月 5 日期间在其网站上预定票务的客户个人和财务详细信息。而造成此次事故的主要原因是英航的 “安全措施失位”。在该事件中,犯罪分子利用匿名的第三方身份设立了一个钓鱼网站,用于接收英航服务器的重定向流量,并以此窃取用户个人数据,其中包括账号登录信息、信用卡信息、客户姓名、邮政地址、电子邮件地址和行程预订情况等。
调查发现,此次攻击背后的犯罪分子是 Magecart 团队之一。据悉,Magecart 是至少七个网络威胁组织的总称,在电子商务网站上搞了很多事,用来收集用户的信用卡记录,包括 Ticketmaster,British Airways 和 Newegg 在内的数十个电子商务网站都被该集团攻陷,而且每天的受害者仍然在增加。
多年来一直负责监控 Magecart 团伙的安全公司 RiskIQ 评论说,Magecart 针对英国航空公司网站建立了定制化、有针对性的基础设施,以尽可能避免被发现。虽然我们可能永远无法知道攻击者对英国航空公司服务器的覆盖范围有多大,但就他们能够修改该站点的资源这一事实就可以看出,他们所获取的访问权限非常大,而且他们可能在攻击开始之前很久就已经开始了这种访问行为。这件事可谓是对面向网络的资产的脆弱性提出了一个明确的警告。
不过,根据 ICO 的说法,针对英航的攻击事件应该是从 2018 年 6 月开始的,也就是英航对外公布该事件的 3 个月前。
虽然看起来此次 ICO 的罚款力度很大,但如果完全按照 GDPR 规定进行处罚,结果可能会更糟。根据《通用数据保护条例》(GDPR),公司必须在发现数据泄露情况后的 72 小时内向相应的欧洲当局进行报告,该条例还规定欧盟集团内的本地数据保护机构可以对发生数据泄露的公司最高处以其年度总收入 4% 的罚款。英航去年的全球营业额约为 116.9 亿英镑,这意味着拟议的 ICO 罚款仅相当于英航 2017 年总收入的 1.5% 左右,远低于最高罚金 4% 或 4.676 亿英镑。
所以,此次罚款可能会为英航带来一丝痛苦,但却不至于会对其造成伤害,或者说,不会伤其根本。国际航空集团 (IAG)——爱尔兰航空、英国航空、伊比利亚航空、Vueling 航空和 LEVEL 航空的母公司——应该也不会受到长期影响,因为罚款仍然仅占其总利润的 7%。
然而,相比罚款,此次数据泄露事件对英国航空造成的经济损失要高得多。1.83 亿英镑是该公司未能妥善保护客户敏感个人数据免受网络犯罪分子侵害所付出的代价,这还不包括灾难恢复或响应数据泄露事件所消耗的实际成本。无所作为的成本减去做了某些举措的成本就是该公司愿意因为没有重视网络安全问题而承受的网络风险。
ICO 在其声明中表示,所谓的用户个人数据,讲的就是这些数据的私密性,当一个组织未能保护它免受损失、损坏或被盗时,这为人们带来的就不是 “不便” 那么简单了。这也是为什么要对保护用户个人数据明文规定的原因,当人们将其私密数据委托给某方时,该方有义务确保这些数据的安全。那些没有保护好用户个人数据的组织将会面临我们英国情报局的审查,并交由我们判断他们是否已采取适当措施保护这些私密数据。
针对此次事件,英国航空公司的首席执行官 Alex Cruz 表示,公司对于此次罚款 “感到惊讶和失望”。他在一份声明中称:英国航空公司针对窃取客户数据的犯罪行为迅速采取了响应行动。我们并没有发现任何与盗窃活动有关的账户发生欺诈行为的证据。
目前,ICO 已经向英国航空公司发出了处罚通知书,要求其支付这项巨额罚款,但是该公司仍有 20 多天的时间可以在 ICO 确认最终罚金之前进行上诉。但是由于涉及的犯罪程度和后续欺诈的实物证据与 GDPR 的要求关系不大,可能并不会对英国航空公司的上诉产生任何影响。
事实上,ICO 给出的这种制裁结果看起来还是相当合适的。在此之前,人们一直怀疑欧洲监管机构会在第一次罚款时做到 “无所不用其极”,以证明 GDPR 需要得到认真对待。对此,ITC Secure 的网络顾问主管 Malcolm Taylor 评论称:
总有一种观点认为,无论是哪家大型企业首次违反了 GDPR 合规性要求,都会被树立成典型。不过,我认为 ICO 此次对英国航空公司的处罚非常合理,他们在展示了自身的监管权力并给出了适当的惩罚外,也避免了全面否定英国航空的情况(罚款金额仅占营业额 1.5%,而非规定的 4%)。
专家分析称,造成预期罚款减少的原因可能是英国航空公司选择在事件发生后与 ICO 合作开展调查,并在此事曝光后对其安全性进行了完善。然而,与此相反,ICO 对此次制裁给出的解释是:经ICO调查发现,各种信息都是因为 “安全措施失位” 才受到了损害。
ITC Secure的网络顾问主管 Malcolm Taylor 表示:
这是 ICO 对于 GPPR 罚款做出的第一个恰当示范。安全行业一直在期待看到这一点,但是即便如此,我判断罚款的大小也让人感到意外。大多数攻击者发动攻击的目的都是为了钱,但是不可否认他们所感受到的(和获得的)这种不正当的荣誉感也会驱使他们针对大型企业发起攻击。在 ICO 有史以来最大的罚款背后,攻击者又获利多少?
这是企业组织必须面对的新常态,ICO 正在执行他们的任务。这里透露的信息非常明确:它不是一个 “对框打勾” 的问题——它是关于企业隐私的问题。你不能推出一个足够好,但却缺乏足够的隐私或安全性的应用程序。它也不是关于欺诈的直接风险的问题——它是关于持有数据的特权问题,这不再是英国航空公司也不再是任何人的权力,而且违反这种行为就等于侵犯了一类用户身份的完整性。
相关阅读