GDPR上路后最严厉处分!英航遭重罚年营收1.5%高达1.8亿英镑

去年9月发生网站和行动app遭黑导致大批旅客信用卡及个人信息外泄的英国航空,周一因违反欧盟个人信息法GDPR,遭英国主管机关重罚1.83亿英镑高了好几倍。

去年9月英航因网站和行动app遭黑,导致通过ba.com网站连上公司系统的用户都被导向假网站,并遭攻击者取得用户信息,估计将近50万名用户受害。主管机关英国信息专员办公室(Information Commissioner’s Office,ICO)调查后认为,这起事件出于英航的安全管理不佳,致使多种信息包括信用卡、旅行订位代号及个人姓名、住家地址等个人数据外泄。

随着去年5月底GDPR的上路,英航在9月发现被黑后隔日即对外公布。当时英航表示影响人数将近38万名旅客,但外泄信息并不包含护照及旅游信息。

根据GDPR的罚责,英国ICO以英航2018年全年营收的1.5%计算,判处1.83亿英镑,超过该局去年因剑桥分析案对脸书判罚的50万欧元,也成了GDPR上路以来ICO祭出最严厉的处分。

英国ICO主席Elizabeth Denham指出,当企业组织未能保障个人信息免于损失、毁损或被窃,问题不仅只是不方便而已,这也是法律明确要求企业被委以保护个人信息的责任时,必须克尽职责。任何失职者将面临ICO严格审查他们是否有采取适当措施保障个人基础的隐私权。

路透社引述,英航所属的IAG集团董事长Alex Cruz对此判决感到“惊讶与失望”。他说英航对黑客窃取个人信息事件回应迅速,而且也没有证据证明个人信息外泄和欺诈活动有关。

英国ICO指出英航由于配合调查及事后安全措施大幅改善,可对官方调查报告及惩处表达意见,ICO并将与其他数据主管机关商议,再做出最终判决。

本案也会超过今年初法国对谷歌祭出的5000万欧元罚款。由于Google对用户披露信息不够透明、完整,致使用户在未被充分告知情况下,不得不同意Google处理其个人信息并用于发送个性化广告,被法国政府认定违反GDPR。不过,脸书剑桥分析案未来可能遭欧盟判处高达30到50亿欧元的罚金。