近日，英國(guó)數(shù)據(jù)安全監(jiān)管部門(ICO)大刀闊斧地對(duì)涉及數(shù)據(jù)泄露的企業(yè)做出了處罰，先后開出兩張巨額罰單，英國(guó)航空、萬(wàn)豪酒店紛紛中槍。在此次事件中心，有一個(gè)“幕后推手”發(fā)揮著重要的作用，它就是 2018 年 5 月 25 日由歐盟推出的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡(jiǎn)稱 GDPR)。GDPR 自推出之時(shí)曾被坊間稱為“歐洲最嚴(yán)隱私法案“，Google，F(xiàn)acebook 等科技巨頭都曾受到監(jiān)管。然而，與今年 1 月 Google 遭法國(guó)當(dāng)局罰款 5000 萬(wàn)歐元的情況不同，外媒對(duì)最近接連曝出的兩起事件表示了一定程度的驚訝，尤其是對(duì)英國(guó)航空即將面臨 1.83 億英鎊罰款的消息，因?yàn)樗��?ICO 根據(jù) GDPR 做出的第一次處罰，同時(shí)也是 ICO 開出的最大一筆罰單。不難看出，巨額罰款的背后也表明了 ICO 未來(lái)在保護(hù)數(shù)據(jù)安全方面的決心。

最近幾年，數(shù)據(jù)泄露事件時(shí)有發(fā)生。2018 年 3 月，F(xiàn)acebook 被曝出 8700 多萬(wàn)用戶的數(shù)據(jù)泄露，F(xiàn)acebook 創(chuàng)始人 Mark Elliot Zuckerberg 公開道歉，其市值因此大幅下跌;同月，美國(guó)運(yùn)動(dòng)品牌 Under Armour 旗下的健身應(yīng)用 MyFitnessPal 因存在數(shù)據(jù)漏洞，遭到黑客攻擊，造成超過(guò) 1.5 億用戶的數(shù)據(jù)外泄。2018 年 8 月，華住旗下所有酒店的數(shù)據(jù)被曝公開售賣，涉及數(shù)據(jù)達(dá) 5 億條之巨……可以說(shuō)，每一起數(shù)據(jù)泄露事件的發(fā)生都會(huì)對(duì)企業(yè)帶來(lái)毀滅性的影響。然而，用戶損失卻很少有人問(wèn)津。近日，ICO 對(duì)兩家公司的處罰決定讓企業(yè)為用戶損失買了單。

 

 

ICO 開出首張巨額罰單：英國(guó)航空 1.83 億英鎊

根據(jù)英國(guó)航空的說(shuō)法，數(shù)據(jù)泄露事件發(fā)生在 2018 年 8 月 21 日至 9 月 5 日之間。網(wǎng)絡(luò)攻擊者在英國(guó)航空公司的網(wǎng)站與移動(dòng)應(yīng)用程序中植入了一個(gè)病毒版本的 Modernizr JavaScript 庫(kù)。隨后，用戶被轉(zhuǎn)到一個(gè)虛假欺詐網(wǎng)站，導(dǎo)致約 50 萬(wàn)名用戶的多種信息被攻擊者竊取。其中包括用戶姓名與地址、登錄信息、支付卡信息、旅行預(yù)定詳情等。但是，人們從 ICO 方面了解到，此次數(shù)據(jù)泄露早在 2018 年 6 月已經(jīng)開始。

一些專業(yè)人士就引起數(shù)據(jù)泄露的技術(shù)問(wèn)題進(jìn)行了分析。第三方安全管理供應(yīng)商 Panorays 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Matan Or-El 表示，黑客需要能夠替換英國(guó)航空公司網(wǎng)站上的某些文件，才能植入有毒庫(kù)。然而，這取決于有問(wèn)題的 JavaScript 庫(kù)是否真的位于英國(guó)航空的資源上。應(yīng)用安全公司 ImmuniWeb 的創(chuàng)始人兼首席執(zhí)行官 Ilia Kolochenko 補(bǔ)充說(shuō)，“如今，有許多錯(cuò)綜復(fù)雜的途徑將惡意代碼注入合法頁(yè)面。例如，有時(shí)開發(fā)人員錯(cuò)誤地輸入托管外部 [JavaScript] 庫(kù)的域名，攻擊者只需注冊(cè)域名并在其中放置惡意軟件，而不是庫(kù)。其他公司購(gòu)買他們自己的域來(lái)托管第三方代碼，然后忘記更新域名，將這個(gè)機(jī)會(huì)交給了網(wǎng)絡(luò)攻擊者。”

目前，英國(guó)航空已配合 ICO 展開調(diào)查，并對(duì)安保系統(tǒng)進(jìn)行了完善。

英國(guó)航空因數(shù)據(jù)泄露受罰是自 GDPR 生效以來(lái) ICO 公布的第一次處罰。此次罰款金額約占其 2017 年全年?duì)I收的 1.5%，英國(guó)航空對(duì)此表示“驚訝和失望”。技術(shù)記者 Rory Cellan-Jones 表示，這一罰款金額令人“脊背發(fā)涼”。“畢竟這個(gè)數(shù)字大約是 Facebook 罰金的 367 倍，但兩起事件所依據(jù)的法規(guī)不同，根據(jù) GDPR，最高罰款金額可達(dá)年?duì)I收的 4%。”據(jù)了解，F(xiàn)acebook 曾因劍橋分析丑聞被處以 50 萬(wàn)英鎊的巨額罰款，這是此前數(shù)據(jù)保護(hù)規(guī)定下的最高罰金，當(dāng)時(shí) GDPR 還未實(shí)施。

接到處罰通知后，英國(guó)航空有 20 天的上訴期。其母公司國(guó)際航空集團(tuán) (IAG)首席執(zhí)行官 Willie Walsh 表示，“我們?cè)噲D采取所有適當(dāng)措施來(lái)積極捍衛(wèi)英國(guó)航空，包括提出上訴” 。英國(guó)航空方面稱，公司對(duì)于竊取用戶數(shù)據(jù)的犯罪行為反應(yīng)迅速，且并沒(méi)有發(fā)現(xiàn)與這名黑客相關(guān)的賬戶欺詐活動(dòng)。

至于罰款的流向，據(jù)了解，罰金中分給 ICO 的部分將直接轉(zhuǎn)入英國(guó)財(cái)政部，剩余部分會(huì)在其它受影響的歐洲數(shù)據(jù)當(dāng)局之間劃分。

萬(wàn)豪緊隨其后 被罰 9920 萬(wàn)英鎊

在 ICO 對(duì)英國(guó)航空開出罰單的第二天，萬(wàn)豪同樣接到了處罰通知。

2018 年 11 月，該公司泄露了約 5 億名客戶的記錄，因而被處以 9920 萬(wàn)英鎊的罰款。與英國(guó)航空的情況不同，萬(wàn)豪的數(shù)據(jù)泄露事件還涉及到 2016 年對(duì)喜達(dá)屋的收購(gòu)。

據(jù)悉，2014 年喜達(dá)屋的系統(tǒng)遭到入侵后，該漏洞就已經(jīng)開始出現(xiàn)。2015 年 11 月，喜達(dá)屋被萬(wàn)豪收購(gòu)。但直到 2018 年底，用戶數(shù)據(jù)泄露的情況才被萬(wàn)豪發(fā)現(xiàn)。在這四年間，全球約 3.39 億條客座記錄中的個(gè)人數(shù)據(jù)泄露。其中，約 3000 萬(wàn)條與歐洲經(jīng)濟(jì)區(qū) (EEA) 的 31 個(gè)國(guó)家的用戶有關(guān)，700 萬(wàn)條與英國(guó)居民有關(guān)。這些數(shù)據(jù)包括客戶姓名、郵寄地址、電話號(hào)碼、電子郵箱、護(hù)照號(hào)碼、喜達(dá)屋首選的客戶賬戶信息、抵離信息、預(yù)訂日期和溝通偏好等等。

ICO 認(rèn)為，萬(wàn)豪在企業(yè)并購(gòu)時(shí)缺乏全面的調(diào)查。信息專員 Elizabeth Denham 在一份聲明中指出：“GDPR 明確規(guī)定，組織必須對(duì)其持有的個(gè)人數(shù)據(jù)負(fù)責(zé)。這包括收購(gòu)時(shí)進(jìn)行適當(dāng)?shù)谋M職調(diào)查，采取適當(dāng)?shù)膯?wèn)責(zé)措施，以評(píng)估所取得的個(gè)人資料，并確保如何保障這些資料的安全。”安防公司 AttackIQ Inc. 的首席信息安全長(zhǎng) Chris Kennedy 評(píng)價(jià)，“并購(gòu)是企業(yè)所能承擔(dān)的風(fēng)險(xiǎn)最大的事情之一……在此次并購(gòu)中，測(cè)試當(dāng)前安全系統(tǒng)的韌性本可以幫助其及時(shí)發(fā)現(xiàn)漏洞，避免更嚴(yán)重的影響產(chǎn)生。”

盡管此次事件中大部分由黑客攻擊導(dǎo)致的數(shù)據(jù)泄露發(fā)生在 GDPR 出臺(tái)之前，但處罰決定是根據(jù) 2018 年 5 月生效的 GDPR 做出的。

目前，萬(wàn)豪有 28 天的時(shí)間對(duì)該決定提出上訴。萬(wàn)豪國(guó)際總裁兼首席執(zhí)行官 Arne Sorenson 表示，“我們對(duì) ICO 的意向通知感到失望，并將對(duì)此進(jìn)行抗辯。”

2019 年，GDPR 的亮劍之年?

從上述兩起數(shù)據(jù)泄露事件中，人們可以清晰地看到 GDPR 的金融手段正在不斷激起大公司對(duì)數(shù)據(jù)安全方面的思考。與此同時(shí)，GDPR 本身也再次走入大眾關(guān)注的視野。

GDPR是歐盟議會(huì)于 2016 年 4 月通過(guò)的有關(guān)用戶數(shù)據(jù)保護(hù)的新規(guī)，前身是歐盟于 1995 年頒布的《數(shù)據(jù)保護(hù)指令》。經(jīng)過(guò)兩年過(guò)渡期后，于 2018 年 5 月 25 日正式生效。該法規(guī)被認(rèn)為是 20 年間歐盟對(duì)數(shù)據(jù)隱私保護(hù)影響最大的法規(guī)。

與 1995 年出臺(tái)的“指令”不同，GDPR 具有強(qiáng)制力，不要求政府通過(guò)任何立法。此外，在適用范圍、數(shù)據(jù)主體權(quán)利、個(gè)人同意條件、數(shù)據(jù)處理者責(zé)任、隱私保護(hù)、影響評(píng)估、執(zhí)法與處罰力度等十余個(gè)維度都給出了更明確的限定，提出了更高的要求。有觀點(diǎn)稱，如果說(shuō) 1995 年的“指令”主要適用于控制者，處理者通過(guò)合同承擔(dān)數(shù)據(jù)保護(hù)責(zé)任。那么，GDPR 對(duì)控制者、處理者在多數(shù)情況下均提出了相同的要求。例如，承擔(dān)對(duì)數(shù)據(jù)的安全保障義務(wù)，在管理措施、技術(shù)上采取必要措施，包括指定 DPO、在發(fā)生數(shù)據(jù)泄露事故時(shí)及時(shí)報(bào)告控制者等。業(yè)內(nèi)人士稱，英國(guó)航空和萬(wàn)豪酒店罰款的部分后果可能導(dǎo)致數(shù)據(jù)控制者爭(zhēng)先恐后地與數(shù)據(jù)處理商重新協(xié)商合同中的責(zé)任。更進(jìn)一步的是，GDPR 對(duì)于處理者的專門規(guī)定，深入到了處理者(云服務(wù)商)與控制者(云客戶)之間的權(quán)利義務(wù)關(guān)系配置，而在過(guò)去，這些內(nèi)容則完全交由合同、市場(chǎng)自行處理。

今年 5 月，ICO 出版了《GDPR：One Year On》，該報(bào)告講述了自 2018 年 5 月 25 日生效以來(lái) GDPR 帶來(lái)的影響與形成的經(jīng)驗(yàn)。報(bào)告重申了 ICO 基于風(fēng)險(xiǎn)的執(zhí)法方法，主要關(guān)注了涉及大量個(gè)人與弱勢(shì)群體的高度敏感信息的 GDPR 違規(guī)行為。報(bào)告?zhèn)鬟f出的一個(gè)重要訊息是，“要想真正嵌入 GDPR 并讓人們充分理解新立法的影響，還有很長(zhǎng)的路要走。”

據(jù)ICO2018-2019 年度報(bào)告顯示，ICO 在本年度曾做出 22 次金融處罰，涉及 Equifax，F(xiàn)acebook，Uber，Yahoo 等公司。據(jù)外媒 The Register 報(bào)道，截至 2018 年 4 月，ICO 為數(shù)據(jù)泄露事件開出了共計(jì) 300 萬(wàn)英鎊的罰單，而這僅僅是最近曝出的 GDPR 對(duì)英國(guó)航空公司和萬(wàn)豪酒店的處罰的一小部分。盡管如此，兩家公司面臨的罰款金額的的絕對(duì)數(shù)量遠(yuǎn)低于 GDPR 允許的最高限額。但是在 GDPR 生效以前，根據(jù)英國(guó)的數(shù)據(jù)保護(hù)法案，最高罰款“僅”為 50 萬(wàn)英鎊。ICO 的決定充分表明其未來(lái)并不打算避免征收巨額罰款，不難想象，這與近期大量網(wǎng)絡(luò)數(shù)據(jù)泄露事件成正比。因此，這會(huì)是 ICO 推進(jìn) GDPR 的轉(zhuǎn)折點(diǎn)嗎?

ICO 指出，GDPR 第二年的工作重點(diǎn)在于要求“(企業(yè)或組織)不得只遵守最低標(biāo)準(zhǔn)。組織需要將重點(diǎn)轉(zhuǎn)向問(wèn)責(zé)制，真正理解它們的數(shù)據(jù)處理方式會(huì)給個(gè)人帶來(lái)什么樣的風(fēng)險(xiǎn)，以及如何減少這些風(fēng)險(xiǎn)，而為直接公開發(fā)行提供良好的支持是實(shí)現(xiàn)有效問(wèn)責(zé)的核心“。盡管支持 GDPR 的多利益相關(guān)方專家組(MEG)擔(dān)心部分部門可能缺少有效資源來(lái)執(zhí)行新任務(wù)，但 ICO 至少已經(jīng)開始發(fā)展配合其新權(quán)力與責(zé)任的人員。未來(lái)，該組織將專注于各類監(jiān)管(例如網(wǎng)絡(luò)安全)，并努力在全球隱私和信息權(quán)利領(lǐng)域發(fā)揮重要的領(lǐng)導(dǎo)作用。當(dāng)然，光鮮的成績(jī)單背后，ICO 顯然還有許多工作要做。

CrownPeak 產(chǎn)品管理總監(jiān) Gabe Morazan 在評(píng)價(jià)最近 GDPR 開出的兩筆巨額罰單時(shí)還提到，“如果你看看通過(guò) RTB 網(wǎng)絡(luò)和程序化廣告收集和傳遞的數(shù)據(jù)量，就會(huì)發(fā)現(xiàn)，這是一筆龐大的消費(fèi)者數(shù)據(jù)，有可能在規(guī)模和范圍上(受到英國(guó)航空和萬(wàn)豪罰款影響的客戶)類似”。他總結(jié)道，“2019 年是(GDPR 的)執(zhí)行之年”。

相關(guān)文章：

British Airways faces record £183m fine for data breach

GDPR bites again: Marriott facing $123.6M fine for 2018 data breach

‘2019 is the year of enforcement’: GDPR fines have begun

作者：王文婧

譯者：井玉倩

標(biāo)簽： 數(shù)據(jù)泄露 數(shù)據(jù)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。