有鑑於客戶資料外洩,英國資訊委員會辦公室(ICO)近日分別開罰英航和萬豪酒店 2 億 3,000 萬和 1 億 2,300 萬美元。正接受相關調查的科技業巨擘 Google 和 Facebook 則可能面臨更高罰金。
英國航空(British Airways)和萬豪酒店(Marriot)的獲判罰金是歐洲聯盟通用資料保護規則(General Data Protection Regulation,GDPR)施行一年多以來最高紀錄。英航去年 6~9 月期間有約 50 萬名客戶的資料遭竊,萬豪則是在去年 11 月讓約 3 億 3,900 萬筆客戶資料外流。兩家公司有權、且已決定申訴。
GDPR 下重手之所以備受關注,其中一個主因是 GDPR 規範廣泛,卻缺乏細節,企業難以掌握歐盟主管單位的法規詮釋方向,包括如何認定安全措施已達「充足」標準。
GDPR 最高可裁定相當於受罰企業全球營業額 4% 的罰金,英航和萬豪遭判罰金則相當於各自營業額的 1.5%。
掌握大筆客戶資料的網路平台 Google 和 Facebook 目前正接受 GDPR 調查。若以 2018 年的年營收為計算基準,則 Google 和 Facebook 恐面臨最高分別為 50 億和 22 億美元的鉅額罰鍰。
英國 ICO 今年稍早指出,計劃針對 Google 廣告平台客戶資料外洩一事進行調查,而 Google 早在 1 月即已遭 GDPR 的法國監管單位裁罰 5,700 萬美元,理由包括管理「欠缺透明度」、使用者同意權行使管控不足等。
另一方面,Facebook 將 8,700 萬筆用戶個資分享給現已宣告破產的英國政治顧問公司「劍橋分析」(Cambridge Analytica),以用於政治研究和廣告投放,卻未善盡告知用戶責任,已遭罰 64 萬 4,000 美元,目前則因 Facebook 和 Instagram 平台對使用者帳號名稱和密碼保護不足遭 GDPR 愛爾蘭監管單位調查,恐面臨更高罰金。
CNBC 報導,ICO 的懲罰性裁定在隱私保護領域頗不尋常,因為企業通常較易被視為網路犯罪的受害者,而非犯罪者。
英國網路安全公司首席研究員維斯紐斯基(Chet Wisniewski)認為,ICO 的調查活動顯示,將專注於「疏於盡責」的公司:「若問題長年發生,而你明明有很多機會,卻沒做系統補救,ICO 就會罰重一點。」
(譯者:陳韻聿;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
