结合 GDPR 规定及欧盟地区各个国家监管机构的执法案例,企业在处理(包括但不限于收集、使用、转移、披露)个人数据时应当遵守数据处理七大基本原则,并且应当考量现有的技术、实施成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者、数据处理者应当采取适当技术性和适当组织性措施以保证应对风险的适当安全水平。
英国航空公司(British Airways)因遭黑客攻击从而导致,约有38万笔交易数据被盗,这些被盗数据信息包括个人基本信息和付款记录,但不包括个人护照信息。被 ICO 判定违反GDPR并罚以1.83亿英镑。此事件足以引起我国出海企业对GDPR的重视。在此SCA安全通信联盟总结6月英国航空信息泄露事件始末及相关GDPR法律原文,特此梳理此次事件,希望为出海企业的合规之路贡献力量。
案件事实概述
6月起英国航空公司网站发生了数据泄露事件,9月英国航空公司向 ICO 通报该数据泄露事件。
该事件导致约 50 万名客户的个人信息被泄露。在该事件中,用户流量被移转到虚假网站,攻击者通过这个虚假网站收集了客户详细信息,包括客户个人信息和银行卡信息,如姓名、地址、邮箱,以及信用卡的号码、有效期和背面的验证码(CVV)等。
ICO表示,数据泄露始于6月,原因是英国航空公司为保护客户信息而采取的“糟糕的安全措施”。
ICO专员伊丽莎白·德纳姆(Elizabeth Denham)则说:
“用户的个人数据就是他们的私人财产,当一个组织无法保护个人数据免受盗窃和破坏时,这对用户而言绝不仅仅是不方便而已,而是私人财产的损失。法律已经列明,当组织被委托处理个人资料时,必须确保资料的安全。那些没有做好数据资料保护的企业将会面临审查。”
监管机构依据《通用数据保护法》(GDPR)施以巨额罚款
事件爆发后,英国航空公司配合 ICO 调查并对安全系统进行整改,获得向 ICO 提出有关拟议调查结果和制裁的陈述机会。
7月8日,英国数据安全监管部门——信息专员办公室(ICO)宣布,对英国航空公司客户数据遭泄露事件开出1.83亿英镑巨额罚单。
处罚原因
违反GDPR第32条数据处理安全规定
在此附录GDPR第32条数据处理安全规定原文内容以供参考:
根据GDPR第32条处理安全的规定
1、考量现有的技术、实施成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者、数据处理者应当采取适当技术性和适当组织性措施以保证应对风险的适当安全水平,酌情考量包括但不限于一下因素:
(a)个人数据匿名化和加密;
(b)保证处理系统和服务持续保密、完整、可用和自我修复的能力;
(c)在发生物理或技术性事故的情况下及时恢复个人数据可用性和访问的能力;
(d)定期测试、评价和评估确保处理过程安全的技术性和组织性措施的有效性。
2、衡量安全措施的适当水平时,应当特备考量应处理产生的风险,特别是在传输储存或进行其他处理时个人数据被意外或非法破坏、遗失、变更、未经授权披露或访问。
3、遵守本条例第40条规定的经批准的行为准则或第42条规定的经批准的认证机制可以作为符合本条例第一款规定的证明要素。
4、数据控制者和数据处理者应当采取措施,以确保在数据控制者和数据处理者授权下行动且有权访问个人数据的任何自然人,除非数据控制者向其发出指令,不能对该类数据进行处理,欧盟或欧盟成员国法律要求其处理的除外。
合规启示
1. 企业应当在日常的经营活动中重视并定期开展合规性检查,在系统安全方面采取更多、有效的保护措施;
2. 应对数据泄露事件时,事前形成相对完善的数据管理制度,采取防护措施,事中采取及时调查、主动上报、积极止损的方式,与监管机构保持良好密切的沟通,并将数据泄露的事实告知数据主体,有助于将影响控制在尽可能小的范围内。
据中兴通讯数据保护合规部不完全统计,截止至 年 9 月 24 日,22 家 DPA 对 87 件案件,共做出 373,650,857 欧元的行政处罚决定。其中,英国、法国、保加利亚、波兰、荷兰DPA 共开出 6 件超过 50 万欧元罚款的行政处罚,最大罚单超过 2 亿欧元。可以看出,经过一段时间的适应期,DPA 处罚力度明显加大,由此提醒中国出海企业,GDPR合规之路不是可有可无,应该成为企业合规的必选。SCA专为产品或服务出口欧盟和美国的企业提供技术合规咨询和培训服务,欢迎咨询。
PS:文章由SCA结合GDPR官方文档及相关法律报告整理,转载请注明出处。参考资料:《GDPR 执法案例精选白皮书》中兴通讯数据保护合规部数据法盟联合发布。https://gdpr-info.eu/art-5-gdpr/
