美国联邦交易委员会(FTC)7月22日宣布与美国第三大消费者信用报告企业Equifax在2017年的数据外泄事件完成和解,Equifax最高将支付7亿美元的和解金额。
Equifax是在2017年的5月至7月间遭到黑客入侵,外泄了1.47亿名消费者的个人数据,包括姓名、生日与社会安全码,还有消费者的地址、电话号码、驾照号码、电子邮件帐号的信息外流,也危及20.1万张银行卡数据。
黑客是借由Equifax系统的安全漏洞攻陷该系统,有鉴于美国国土安全部曾在2017年3月向Equifax警告该漏洞的存在,但Equifax却未有效修补,才酿成该规模庞大的数据外泄意外。
根据FTC与Equifax的和解协议,Equifax将支付3亿美元以支持受影响消费者的信用监控服务,若不足则会再加码1.25亿美元,也同意支付1.75亿美元给美国的50州,另外的1亿美元则是支付给消费者金融保护局(CFPB)的民事罚款。意味着Equifax所提供的和解金额将介于5.75亿美元到7亿美元之间。
其实Equifax的数据外泄事件不仅影响美国的消费者,还波及英国的1,500万名人们,英国的数据保护组织ICO(Information Commissioner’s Office,信息专员办公室)已经向Equifax开罚50万英镑(约63万美元),这是英国相关法令的罚款上限。
FTC主席Joe Simons表示,从个人信息中获利的企业更应保护消费者数据,Equifax未能采取可预防数据外泄的基本措施,才造成1.47亿名消费者的数据外泄,该和解协议要求Equifax未来应采取各种步骤来改善数据安全,同时确保受到该事件影响的消费者能受到保护,以免沦为身份窃盗与诈骗的受害者。