英国历史最悠久的航空公司英国航空(British Airways)于2018年6月遭骇客攻击,50万名乘客个资与信用卡资料外泄;跨国连锁饭店集团喜达屋酒店(Starwood Hotels),也在同年的11月遭骇客入侵,多达3亿名住客的个资被窃;英国资讯委员会办公室(ICO)近日分别裁定,开罚英航1.83亿英镑(约71亿元新台币),以及和喜达屋母公司万豪国际集团9900万英镑(约39亿元新台币)。
英航和喜达屋的罚款是欧洲联盟通用《数据保护规范》(GDPR)实行以来最高的纪录,本次裁决之所以备受关注,是因为《GDPR》的规范广泛但缺乏细节,企业难以掌握欧盟对法规的诠释方向,包括安全措施如何才算“充足”的标准。而《GDPR》也一直有“史上最严”的称号。
ICO主席德纳姆(Elizabeth Denham)表示,《GDPR》规定企业有责任保护所持有的个资,包括在进行企业收购时,应做好适当的尽职调察及权责措施。德纳姆指出,企业有确保个资安全性的法律责任,如果企业失职,ICO必要时会不惜采取强制手段以保护公众权利。
英国网络安全公司首席研究员维斯纽斯基(Chet Wisniewski)指出,ICO的调查活动显示专注于“疏于尽责”的公司,“例如问题长年发生,有许多机会却仍未做好系统补救,ICO就会罚得重一点。”《GDPR》的规范可裁罚等同受罚企业全球营业额4%的罚金,这次英航和万豪的罚金相当于各自营业额的1.5%。
而科技业两大巨头Google和脸书(Facebook)也各自为了年初的广告平台客户资料外泄案及臭名远播的“剑桥分析”案,正接受《GDPR》调查中;若以2018年的年营收为计算基准,则Google恐怕要面临最高50亿美元(约1500亿元新台币)的罚款,脸书则是22亿美元(约690亿元新台币)。
就在不久前,ICO也以《GDPR》的规范对TikTok开罚。