其他
万豪三亿客人信息泄露终被罚1.6亿 仍面临多项集体诉讼
时隔两年,万豪国际酒店集团旗下喜达屋酒店3.39亿客人个人信息泄露事件暂时告一段落。
当地时间10月30日,英国信息专员办公室(Information Commissioner’s Office, ICO)发布声明称,因未能保护客户个人数据安全,对万豪处以1840万英镑(约合人民币1.6亿元)罚款。
隐私护卫队注意到,这一金额远低于ICO在罚款意向通知中提出的9920万英镑(约合人民币8.5亿元)。ICO称,本次处罚只针对万豪在欧盟《通用数据保护条例》(GDPR)生效后的违规行为。
文|蒋琳 白小皛编辑|石莹
因采取补救措施和疫情影响,罚款金额大幅减少
信息泄露事件曝光于2018年11月30日。彼时万豪称,旗下喜达屋酒店预订数据库中约5亿客人信息或泄露。根据万豪的声明,泄露的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等信息,还有部分客人的支付卡卡号和有效期。经过调查,ICO最终将受影响的客人数量确认为3.39亿。其中3000万来自欧洲经济区(EEA)覆盖的31个国家,受到影响的英国居民约有700万。尽管事件曝光于GDPR生效之后,但ICO指出,事件起因是喜达屋酒店在2014年遭受的网络攻击,而万豪是2016年收购喜达屋酒店之后,才于2018年9月发现这一漏洞。攻击者通过向喜达屋酒店的系统设备植入恶意代码、安装恶意软件,可以特权用户的身份远程访问系统,导出喜达屋酒店预订数据库中的数据。2019年7月,ICO曾发布公告,称万豪在收购喜达屋酒店时未进行充分调查,它本应采取更多措施来保护其系统。“GDPR明确要求数据持有者对其掌握的个人数据负责,这就包括了在收购时进行充分调查,不仅是对个人数据本身,也要评估它的相应保护措施。”信息专员Elizabeth Denham说。因此,ICO对万豪发出了金额高达9920万英镑的罚款意向通知——这一数额约占万豪2018年全球营收的3%。不过这并非最终决定,万豪仍有机会就ICO提出的调查结果和制裁进行陈述。随后,万豪在提交给美国证券交易委员会的一份文件中表示,对ICO的决定“非常失望”,并称将“发起抗辩”。万豪强调,在此次数据泄露事件中遭到入侵的喜达屋预订系统已经不再在商业运营中使用。收到万豪的反馈后,ICO在10月30日的声明中认可了万豪在发现问题后立即联系客户和ICO,采取快速行动减轻客户遭受损害的风险,实施了多项措施提高其系统安全性等行为,并综合考虑了万豪为减轻事件影响所采取的措施,以及疫情对其业务的经济影响等多重因素,最终决定对其处以1840万英镑的罚款。“个人数据非常宝贵,企业必须照顾好它。”Denham说,“当一家企业无法保护客户数据时,其影响不仅仅是可能被罚款。最重要的是,企业应该负起保护公众数据的责任。”ICO还提到,由于这起事件发生在英国脱欧之前,ICO是作为主要监管机构代表所有欧盟当局进行调查,其处罚和行动均符合GDPR的程序要求,并已得到各欧盟国家数据保护机构批准。除了罚款,万豪还面临多个集体诉讼
延伸阅读:
万豪或因上亿客人开房信息泄露被罚8.5亿 已停用相关预订系统
万豪更新酒店安全事件:最多3.83亿人信息泄露,低于最初预估
美国多个州政府对万豪数据泄露展开调查,史上最高额罚款或将出现
万豪旗下喜达屋酒店5亿客人开房信息或泄露 含银行卡号通信偏好
营业额5%最高处罚由哪级机关监管?权威专家热议个保法草案
详解个人信息保护法草案:国家机关履职应遵循告知同意原则
告知同意等于用户实质同意?专家:个人信息保护法加强自决权
Modified on