英航與萬豪酒店個資外洩遭重罰,谷歌與臉書恐傷更重。(圖片來源:Adobe stock)
科技發達,隱私的保護卻益發薄弱,個資外洩事件頻傳。近日英航(British Airways)及萬豪酒店(Marriot)就分別遭到英國資訊委員會辦公室(ICO)罰款2億3000萬和1億2300萬美元。連帶遭到調查的科技業龍頭Google和Facebook,可能面臨更高的罰金。
英國航空和萬豪酒店此次遭到罰款的金額,可說是施行歐洲聯盟通用資料保護規則(General Data Protection Regulation, GDPR)一年多以來的最高紀錄。
對英航而言,有近50萬筆客戶資料在去年6-9月間遭到竊取;萬豪則有3億3900萬筆左右的個資在去年11月外流。雖然遭到ICO罰款,但兩間公司已決定維護他們的權利,提出申訴。
本次事件之所以受到各方矚目,很重要的原因就是由於GDPR規範廣泛,但施行細則尚未完善,所以企業對負責主管的歐盟相關單位會如何依法實行,感到無所適從,自然無法得知自己公司的安全措施是否有達到要求。
在GDPR規範中,違法企業最高將遭到全球營業額4%的罰款。此次受罰的英航和萬豪,罰金就佔了各自營業額的1.5%,損失不小。
相較之下,GDPR目前正在調查擁有更多客戶資訊的網路巨擘Google和Facebook。這兩家若面臨罰款的話,以2018年的營收為基本來看,就將付出50億和22億美元的天價罰款。
目前正調查客戶資料在谷歌廣告平台遭到外洩的英國ICO表示,早在今年1月,GDPR在法國的監管單位就以使用者同意權行使管控不足,管理「欠缺透明度」的理由對谷歌開罰5700萬美元。
在臉書的部份,由於在未經用戶同意的情況下,自行將8700萬筆個資交給英國政治顧問公司「劍橋分析」(Cambridge Analytica,現已宣告破產),用來做為政治研究與廣告投放,也已經遭到64萬4000美元的罰款。
目前正遭GDPR在愛爾蘭監管單位調查的臉書和Instagram,則因為對用戶帳號密碼保護不力,也可能面臨高額的罰款。
CNBC報導,此次ICO在隱私保護領域所做出的懲罰十分不尋常,因為以常理來說,網路犯罪的受害者通常是企業,卻在這次轉變成犯罪者的角色。
針對近來ICO的連串調查與處罰,維斯紐斯基(Chet Wisniewski,目前任職於英國網路安全公司首席研究員)認為,這顯示出ICO將專注於一些怠忽職守的公司,因為「若問題長年發生,而你明明有很多機會,卻沒做系統補救,ICO就會罰得重一點。」。