还记得去年英国数据保护监管机构对万豪和英国航空发来的巨额罚款账单吗?
2019年7月,该机构拟议的两项处罚是:万豪1.304亿美元和英国航空公司2.411亿美元,但此后却没有听到太多消息。
好吧,看来我们将不得不等待更长的时间才能看到两家公司将遭受的打击(如果有的话)。英国信息专员办公室表示,英国航空公司和万豪酒店已经“同意” 将监管程序延长至2020年3月31日。”
ICO补充说,在两种情况下,“监管过程都在进行中,我们目前将不发表任何评论。”
那么,我们应该怎样看待这种延迟呢?
努力和解
首先,两家公司争取更多时间决定以及相关协议都表明了某种程度的和解。
在欧盟新的通用数据保护条例(GDPR)规则出台之前,最高罚款为657,000美元,此前Facebook同意在对政治活动中滥用个人数据进行调查后支付这一罚款,但不承认任何责任。
尽管对万豪航空和英国航空的罚款均要高出Facebook几个数量级,但值得记住的是,总金额只是临时数字。
在这两种情况下,英国信息专员办公室均表示将“将认真考虑公司和另一方的陈述。在做出最终决定之前,请与数据保护机构联系。”
监管机构有可能打脸,大幅度削减处罚金额吗?
“尽管人们通常不愿做出预测,但有时还是很有趣。考虑到这一点,发现对英国航空和万豪的罚款还没有兑现不足为奇,”去年11月,Mishcon de Reya律师事务所的数据保护顾问乔恩·贝恩斯写了一篇文章。
有趣的是,贝恩斯暗示对两家企业的整个处罚过程可能是无意的。英国信息专员办公室经常会发布处罚公告,但并未公开,但由于万豪和英国航空公司都是上市公司,通过股票市场公告,从而将这次处罚在公众领域人人知晓。
事实上,监管机构对数据泄露罚款金额的任何大幅降低都将使这个处罚对两家企业看起来毫无压力。
“根据ICO的规定,对安全漏洞的处罚是一种标准做法-他们根据旧的《数据保护法》进行了10年的罚款,因此这个程度的罚款也就不足为奇了,”数据保护专家兼主任Tim Turner表示。
“但是,这仍将是全欧洲最大的一笔数据泄露罚款,尽管对Facebook和其他大公司采取了更为强烈的行动,但ICO毫无例外地希望对两家企业以儆效尤。”
为什么要罚款?
目前,万豪和英国航空均受到欧盟新的更严格数据保护法律的谴责,该法律允许更大数量的罚款。
就英国航空而言,这与2018年该公司的一次数据泄露事件有关,当时约有500,000名客户的个人数据遭到泄露,黑客能够访问登录支付卡、旅行预订详细信息以及姓名和地址信息。
英航一位发言人说:“我相信ICO声明涵盖了所有信息,因此我们不会再透露更多信息。双方都同意再继续谈判,这笔罚款是建议的数字并不是最终的,在规定的法律调查之后才会最终确定。”
万豪的罚金与喜达屋酒店及度假村的数据泄露有关,2018年11月,万豪透露,黑客从2014年开始入侵喜达屋的客户预订数据库。
该公司最初表示,黑客窃取了大约5亿名酒店客人的信息。经过更全面的调查,万豪集团后来将信息泄漏的客户总数修正为3.83亿。
根据对黑客行为的事后分析,黑客窃取了3.83亿名客户记录,1850万个加密护照号码,525万个未加密的护照号码,910万个加密的支付卡号以及当时仍有效的38.5万张卡号。
在万豪宣布其安全漏洞数小时后,集体诉讼开始堆积如山。
万豪发言人表示:“涉及喜达屋数据安全事件的英国信息专员办公室(ICO)的监管流程仍在进行中,我们目前暂不发表评论。ICO已经同意延长监管程序。”