去年9月發生網站和行動app遭駭導致大批旅客信用卡及個資外洩的英國航空,周一因違反歐盟個資法GDPR,遭英國主管機關重罰1.83億英鎊(約台幣64億元)。比先前Google遭重罰5千萬歐元(約台幣7億元)高了好幾倍。

去年9月英航因網站和行動app遭駭,導致透過ba.com網站連上公司系統的用戶都被導向假網站,並遭攻擊者取得用戶資訊,估計將近50萬名用戶受害。主管機關英國資訊專員辦公室(Information Commissioner's Office,ICO)調查後認為,這起事件出於英航的安全管理不佳,致使多種資訊包括信用卡、旅行訂位代號及個人姓名、住家地址等個人資料外洩。

隨著去年5月底GDPR的上路,英航在9月察覺被駭後隔日即對外公佈。當時英航表示影響人數將近38萬名旅客,但外洩資訊並不包含護照及旅遊資訊。

根據GDPR的罰則,英國ICO以英航2018年全年營收的1.5%計算,判處1.83億英鎊,超過該局去年因劍橋分析案對臉書判罰的50萬歐元,也成了GDPR上路以來ICO祭出最嚴厲的處份。

英國ICO主席Elizabeth Denham指出,當企業組織未能保障個資免於損失、毁損或被竊,問題不僅只是不方便而已,這也是法律明確要求企業被委以保護個資的責任時,必須克盡職責。任何失職者將面臨ICO嚴格審查他們是否有採取適當措施保障個人基礎的隱私權。

路透社引述,英航所屬的IAG集團董事長Alex Cruz對此判決感到「驚訝與失望」。他說英航對駭客竊取個資事件回應迅速,而且也沒有證據證明個資外洩和詐欺活動有關。

英國ICO指出英航由於配合調查及事後安全措施大幅改善,可對官方調查報告及懲處表達意見,ICO並將與其他資料主管機關商議,再做出最終判決。

本案也會超過今年初法國對谷歌祭出的5000萬歐元罰款。由於Google對使用者揭露資訊不夠透明、完整,致使用戶在未被充分告知情況下,不得不同意Google處理其個資並用於發送個人化廣告,被法國政府認定違反GDPR。不過,臉書劍橋分析案未來可能遭歐盟判處高達30到50億歐元的罰金。


Advertisement

更多 iThome相關內容