英航与万豪酒店个资外泄遭重罚,谷歌与脸书恐伤更重。(图片来源:Adobe stock)
科技发达,隐私的保护却益发薄弱,个资外泄事件频传。近日英航(British Airways)及万豪酒店(Marriot)就分别遭到英国资讯委员会办公室(ICO)罚款2亿3000万和1亿2300万美元。连带遭到调查的科技业龙头Google和Facebook,可能面临更高的罚金。
英国航空和万豪酒店此次遭到罚款的金额,可说是施行欧洲联盟通用资料保护规则(General Data Protection Regulation, GDPR)一年多以来的最高纪录。
对英航而言,有近50万笔客户资料在去年6-9月间遭到窃取;万豪则有3亿3900万笔左右的个资在去年11月外流。虽然遭到ICO罚款,但两间公司已决定维护他们的权利,提出申诉。
本次事件之所以受到各方瞩目,很重要的原因就是由于GDPR规范广泛,但施行细则尚未完善,所以企业对负责主管的欧盟相关单位会如何依法实行,感到无所适从,自然无法得知自己公司的安全措施是否有达到要求。
在GDPR规范中,违法企业最高将遭到全球营业额4%的罚款。此次受罚的英航和万豪,罚金就占了各自营业额的1.5%,损失不小。
相较之下,GDPR目前正在调查拥有更多客户资讯的网络巨擘Google和Facebook。这两家若面临罚款的话,以2018年的营收为基本来看,就将付出50亿和22亿美元的天价罚款。
目前正调查客户资料在谷歌广告平台遭到外泄的英国ICO表示,早在今年1月,GDPR在法国的监管单位就以使用者同意权行使管控不足,管理“欠缺透明度”的理由对谷歌开罚5700万美元。
在脸书的部份,由于在未经用户同意的情况下,自行将8700万笔个资交给英国政治顾问公司“剑桥分析”(Cambridge Analytica,现已宣告破产),用来做为政治研究与广告投放,也已经遭到64万4000美元的罚款。
目前正遭GDPR在爱尔兰监管单位调查的脸书和Instagram,则因为对用户帐号密码保护不力,也可能面临高额的罚款。
CNBC报导,此次ICO在隐私保护领域所做出的惩罚十分不寻常,因为以常理来说,网络犯罪的受害者通常是企业,却在这次转变成犯罪者的角色。
针对近来ICO的连串调查与处罚,维斯纽斯基(Chet Wisniewski,目前任职于英国网络安全公司首席研究员)认为,这显示出ICO将专注于一些怠忽职守的公司,因为“若问题长年发生,而你明明有很多机会,却没做系统补救,ICO就会罚得重一点。”。