GDPR最新罚单:继英航之后,万豪也因泄露3.83亿用户信息面临9900万英镑罚款

2019-07-12 16:59:24

万豪也因泄露3.83亿用户信息面临9900万英镑罚款

GDPR  万豪  隐私保护  

来源: https://mp.weixin.qq.com/s/WrNApSHg2R4xQiQKxzUmBg

安全牛

继英国航空公司 (British Airways,简称BA) 因数据泄露被开出创纪录的2.3 亿美元罚单之后,国际酒店集团万豪也将面临英国数据隐私监管机构开出的 9920万英镑(约1. 23 亿美元)的罚单,原因是其于 2016 年收购的喜达屋酒店多年前所发生的数据泄露事件影响了 3.39 亿用户。


据悉,万豪酒店于 2018 年 9 月 8 日发现了这一漏洞,但一直等到 11 月 30 日才对外披露了此事,而该漏洞甚至可以追溯到 2014 年的喜达屋酒店数据泄露问题(万豪于 2016 年收购喜达屋酒店),这使得攻击者有能力自 2014 年开始就访问喜达屋酒店数据库。至于受影响的用户数量,万豪给出的最初估值为 5 亿,现在也减少到了 3.83 亿。

虽然攻击者只复制了 910 万个加密的支付卡号码,但是长期存在的数据泄露现象使得他们能够访问数亿客户的敏感个人信息,包括护照复印件、出生日期以及酒店预订日期等等。

本周二(7月9日),万豪向美国证券交易委员会 (SEC) 提交了一份报告,披露了英国信息委员会办公室 (ICO) 因其违反欧盟《通用数据保护条例》(GDPR,2018年5月25日生效)而向其处以 99,200,396 英镑罚款的事情。

针对此事,万豪国际集团总裁兼首席执行官 Arne Sorenson 表示:

我们对 ICO 的决定通知感到失望,我们将对此提出异议。万豪一直与 ICO 合作在调查这起事件,该事件涉及对喜达屋客户预订数据库的一起犯罪攻击。

据悉,就在 ICO 宣布针对万豪酒店的罚款通知前一天,英国航空公司 (BA) 也因为 2018 年的网站违规行为影响了 50 万名客户而收到了 GDPR 实施以来最高的罚款记录——1.83 亿英镑。对于这项罚款,英国航空公司同样提出了质疑,表示会继续上诉。

万豪酒店也打算针对此次罚款进行上诉,谷歌也是如此,由于其违反了《通用数据保护条例》(GDPR) 的透明性原则、提供充分信息以及针对个性化广告缺乏数据处理的合法性基础,而被法国数据监管机构 CNIL 处以 5000 万欧元的高额罚款。

今天,ICO 表示,ICO 代表其他欧盟成员监管机构针已经对万豪违规行为进行了调查,结果发现,共计 3000 万欧洲居民受到了万豪数据泄露事件的影响,其中包括 700 万英国居民。而在 2016 年万豪收购之前两年,喜达屋的酒店预订系统就已经遭到了破坏。但是这一问题直到 2018 年才被发现,这也就意味着,自 2014 年起攻击者就能够访问喜达屋的数据库。

对此,ICO 已经裁定万豪在收购喜达屋之时未能进行 “充分的尽职调查”,并且没有采足够的措施来增强安全性。


ICO 专员 Elizabeth Denham 评论称:

GDPR 明确规定,组织必须对其持有的个人数据负责。这包括在进行公司收购时进行适当的尽职调查,并制定适当的问责措施,在评估已经获取的个人数据的同时,还需要评估这些数据是如何受到保护的。个人数据具有实际价值,因此组织有法律义务确保其安全性,就如同他们对待任何其他资产一样。如果不这样做,ICO 会毫不犹豫地采取强有力的行动,以切实地保护公众的权力和安全。

二号老头 - 2019-07-12 16:59:24

GDPR  万豪  隐私保护  

182019-07
大数据时代下,“匿名化”真的能保护我们的隐私安全吗?am

大数据时代下,数据的收集与应用在带来巨大社会价值的同时,也带来了个人隐私保护方面的难题。如何在对数据进行挖掘应用的过程中保护个人隐私,防止敏感信息的泄露成为新的挑战...

172019-07
人民日报势所必然:兼顾人工智能应用和隐私保护am

如何在人工智能应用中兼顾隐私保护,确保安全、可靠、可控,是一项亟须关注的伦理课题...

172019-07
中青报:隐私保护的“中国方案”该如何完善am

互联网企业广泛收集用户各类信息加以整理分析利用,从中攫取到巨大的经济效益。在这过程中,暴露出的个人数据安全、隐私保护等问题却被忽视...

152019-07
点开网页瞬间被窃取隐私 访客手机号码被卖1元1条am

记者亲测了网络售卖的“最新抓取技术”,用4台不同号码的智能手机浏览“做了手脚”的网站,其中2台手机的号码被成功抓取...

152019-07
Chrome隐身模式可能没有你想得那么能保护个人隐私am

使用隐身模式后,您的雇主、您的互联网服务提供商或者您访问的网站本身,还是可以查看您的网站访问活动记录。...

142019-07
Cookie 浏览器隐私保护am

Cookie可以帮助你一键查看和清除所有安装的浏览器内的Cookie、历史记录、缓存,并且可以防止网站Cookie的追踪,提高对个人数据隐私的保护...

142019-07
Hider 隐私保护工具am

Hider是mac平台上最实用的隐私保护工具。对比Hider一代软件,Hider 2 for Mac版无论是功能还是风格上软件都做了较大的改进,还新增了类似1Passwo...

142019-07
浅谈GDPR技术措施中的五个关键场景am

GDPR在欧盟地区正式全面实施,尽管只是一部只在欧盟区域内部实行的法律,却也在国际范围内引起了广泛的关注...

132019-07
中国网民个人隐私状况调查:我们在意隐私吗?am

报告显示,经常担心自己信息在网上泄露的网民比例占将近四成,完全不担心的网民比例不到10%...

132019-07
大数据时代,无处安放的个人隐私am

大数据时代,互联网企业平台收集用户信息该如何衡量?数据的使用边界到底在哪里?谁来为消费者的隐私安全护航?...

132019-07
因数据泄露,脸书或被重罚50亿美元!am

美国联邦贸易委员会当天批准与脸书公司达成一项约50亿美元的和解协议。如果协议最终通过,将成为美国政府对科技公司开出的最大罚单...

132019-07
大数据时代的隐私还能保护吗?am

全球的个人隐私相关法律却在大数据和算法的时代却是蹒跚前行。...

122019-07
德勤:2017亚太区隐私与个人信息保护白皮书am

亚太经合组织《隐私保护框架》提出了共同原则,有助于实现亚太各国家/地区隐私与个人信息保护法规要求的协调一致。虽然该框架目前已包括跨境传输相关原则,但不具有约束力,但该框架...

122019-07
国务院政策例行吹风会:将从多方面对个人隐私进行保护am

健康医疗信息的泄露,不但给个人造成很大的困扰,同时也会造成经济损失,如果像基因这样特别的数据流失的话,可能对我们国家安全造成威胁...

122019-07
欧盟个人信息保护法律实践-个人数据保护指令am

在欧盟,典型的个人信息保护法律是1995年的《个人数据保护指令》(Data Protection Directive)。该指令源于美国早期的FIPs原则,从法系上讲受德国...

122019-07
个人信息与隐私的关系am

所谓隐私权,通常是指“私生活不受干涉的权利”,“或个人私事未经允许不得公开的权利”。也就是说,每一个人均有“不受旁人干涉搅扰的权利”。隐私权的实质在于,个人自由决定何时、...

122019-07
122019-07
陆峰:大数据时代个人隐私保护如何突破困境am

作为数字经济时代个人最为宝贵数字资产,加强个人信息保护,不仅事关个人权益的维护,更是关系到网络社会时代个人的幸福感和获得感...