外媒报道称,因2018年在欧盟《通用数据保护条例》(GDPR)生效后发生的一次数据意外泄露事件,国泰航空已被英国数据监督机构处以50万英镑的罚款。据悉,本次漏洞暴露了全球约940万客户的个人详细信息,且其中有111,578名来自英国。经过数月的调查,信息专员办公室(ICO)于2020年3月5日正式宣布了这项惩罚。
外媒指出,这可能是根据英国相关法律而指定的最高罚款金额,且与该航空公司在2018 年秋季发生的数据违例事件有关。
国泰航空当时表示,其在三月份首次发现了针对该公司系统的未经授权访问,但并未解释为何花了那么久的时间才公开。
本次违例导致乘客的详细信息被泄露,包括姓名、护照、出生日期、电子邮件地址、电话号码、以及历史旅行等敏感信息。
ICO于5日称,针对国泰航空系统的未经授权访问,最早可追溯到2014年10月14日。已知针对个人数据的窥探,最早记录是2015年2月7日。
监管机构在一份新闻稿中写道:“ICO发现国泰航空公司的系统是通过连接到互联网的服务器进入的,并被安装了恶意软件来收集数据”。
调查期间,监管机构记下了大量的错误和疏漏,包括未对文件加上密码保护、没有给面向互联网的服务器打上补丁、使用不再受支持的操作系统、以及防病毒措施的不足。
由ICO 对国泰航空的处罚可知,英国已将欧盟的GDPR框架纳入了该国的法律,对涉及个人数据的违例采取了更加严格的惩戒措施。
根据要求,在当地有开展业务的数据控制者在意识到违例行为发生后,必须在72小时内通报英国国家监管机构。
此外GDPR包含了更加严格的罚款制度,最高可达全球年营业额的4%。不过由于事件发生在新规生效之前,ICO还是按照先前的英国数据保护法规来设定罚款金额,否则国泰航空将面临更猛烈的冲击。
去年夏天,曝出安全漏洞被利用的英国航空因在GDPR生效后泄露了50万名旅客数据,而被ICO处以年收入1.5% 的罚款(高达1.839亿英镑)。
文章来源cnBeta,转载请标明出处,如有侵权请联系删除。