继昨天对英国航空客户订房数据库遭入侵,波及W Hotels、喜来登、威斯汀、艾美等知名饭店的住客数据。英国信息专员办公室(Information Commissioner’s Office,ICO)周二以违反GDPR法为由,计划判罚万豪99,200,396英镑。
ICO去年11月接获万豪通报后启动调查,报告显示全球近3.4亿名住客数据外泄,其中包括31个欧洲经济区国家的3千万居民以及7百万英国居民。
这起事件的主角喜达屋饭店集团2014年即已被黑,而后该集团于2016年被万豪国际收购,直到2018年问题才爆发。ICO认为万豪在收购喜达屋前并未做充分的尽职调查,以致未能投入更多以确保系统安全。
ICO主席Elizabeth Denham指出,GDPR法规清楚规定企业有责任保障其持有的个人信息,包括在进行企业收购时,应做适当的尽职调查(due diligence)及具备适当的权责措施,以评估收购了何种个人信息、及要如何保障。她并指出个人信息有其价值,一如其他资产,企业有确保其安全性的法律责任。如果企业失职,ICO必要时不惜采取强制手段保护公众权利。
不过ICO表示万豪集团在调查过程中展现配合,也在事发后改善安全管理,因该如英航得以提出抗辩。而本事件影响到的其他欧盟国家也可以表达意见,以作为最终判决的参考。
万豪周一通过向美国证管会递交的文件对英国ICO的处分表达失望,将提出抗辩。该公司总裁暨首席执行官Arne Sorenson说,此事件源于喜达屋住客订房数据库遭犯罪攻击,而且万豪也积极配合ICO的调查。对于ICO的处分,万豪将全力捍卫自己的立场。
此外,喜达屋遭黑的住客订房数据已不再用于业务运营。该公司表示极为重视客户信息的隐私和安全性,将持续致力于满足客户的期望标准。
英国航空本周因去年9月的数据外泄事件遭英国主管机关重罚1.83亿英镑,创下GDPR上路以来ICO祭出最严厉的处分。