外媒报道称,因 2018 年在欧盟《通用数据保护条例》(GDPR)生效后发生的一次数据意外泄露事件,国泰航空已被英国数据监督机构处以 50 万英镑的罚款。据悉,本次漏洞暴露了全球约 940 万客户的个人详细信息,且其中有 111578 名来自英国。经过数月的调查,信息专员办公室(ICO)于今日正式宣布了这项惩罚。
外媒指出,这可能是根据英国相关法律而指定的最高罚款金额,且与该航空公司在 2018 年秋季发生的数据违例事件有关。
国泰航空当时表示,其在三月份首次发现了针对该公司系统的未经授权访问,但并未解释为何花了那么久的时间才公开。
本次违例导致乘客的详细信息被泄露,包括姓名、护照、出生日期、电子邮件地址、电话号码、以及历史旅行等敏感信息。
ICO 今日称,针对国泰航空系统的未经授权访问,最早可追溯到 2014 年 10 月 14 日。已知针对个人数据的窥探,最早记录是 2015 年 2 月 7 日。
监管机构在一份新闻稿中写道:“ICO 发现国泰航空公司的系统是通过连接到互联网的服务器进入的,并被安装了恶意软件来收集数据”。
调查期间,监管机构记下了大量的错误和疏漏,包括未对文件加上密码保护、没有给面向互联网的服务器打上补丁、使用不再受支持的操作系统、以及防病毒措施的不足。
由 ICO 对国泰航空的处罚可知,英国已将欧盟的 GDPR 框架纳入了该国的法律,对涉及个人数据的违例采取了更加严格的惩戒措施。
根据要求,在当地有开展业务的数据控制者在意识到违例行为发生后,必须在 72 小时内通报英国国家监管机构。
此外 GDPR 包含了更加严格的罚款制度,最高可达全球年营业额的 4% 。不过由于事件发生在新规生效之前,ICO 还是按照先前的英国数据保护法规来设定罚款金额,否则国泰航空将面临更猛烈的冲击。
去年夏天,曝出安全漏洞被利用的英国航空因在 GDPR 生效后泄露了 50 万名旅客数据,而被 ICO 处以年收入 1.5% 的罚款(高达 1.839 亿英镑)。(来源:cnBeta.COM)