用Podcast訂閱本節目 
有鑑於客戶資料外洩,英國資訊委員會辦公室(ICO)近日分別對英國航空公司開罰2億3,000萬美元,對萬豪酒店開罰1億2,300萬美元。正接受相關調查的科技業巨擘谷歌和臉書則可能面臨更高罰金。
英國航空(British Airways)和萬豪酒店(Marriot)的獲判罰金是歐洲聯盟通用資料保護規則(General Data Protection Regulation, GDPR)施行一年多以來最高紀錄。英航去年6至9月期間有約50萬名客戶的資料遭竊,萬豪則是在去年11月讓約3億3,900萬筆客戶資料外流。兩家公司有權、且已決定申訴。
GDPR下重手之所以備受關注,其中一個主因是GDPR規範廣泛,卻缺乏細節,企業難以掌握歐盟主管單位的法規詮釋方向,包括如何認定安全措施已達「充足」標準。
GDPR最高可裁定相當於受罰企業全球營業額4%的罰金,英航和萬豪遭判罰金則相當於各自營業額的1.5%。
掌握大筆客戶資料的網路平台谷歌(Google)和臉書(Facebook)目前正接受GDPR調查。若以2018年的年營收為計算基準,則Google和Facebook恐面臨最高分別為50億和22億美元的鉅額罰鍰。
英國ICO今年稍早指出,計畫針對Google廣告平台客戶資料外洩一事進行調查,而Google早在1月即已遭GDPR的法國監管單位裁罰5700萬美元,理由包括管理「欠缺透明度」、使用者同意權行使管控不足等。
另一方面,臉書將8,700萬筆用戶個資,分享給現已宣告破產的英國政治顧問公司「劍橋分析」(Cambridge Analytica),以用於政治研究和廣告投放,卻未善盡告知用戶責任,已遭罰64萬4,000美元,目前則因臉書和Instagram平台對使用者帳號名稱和密碼保護不足遭GDPR的愛爾蘭監管單位調查,恐面臨更高罰金。
CNBC報導,ICO的懲罰性裁定在隱私保護領域頗不尋常,因為企業通常較易被視為網路犯罪的受害者,而非犯罪者。
英國網路安全公司首席研究員維斯紐斯基(Chet Wisniewski)認為,ICO的調查活動顯示,它將專注於「疏於盡責」的公司:「若問題長年發生,而你明明有很多機會,卻沒做系統補救,ICO就會罰得重一點。」。
