GDPR最新罚单:继英航之后,万豪也因泄露3.83亿用户信息面临9900万英镑罚款

2019-07-12 16:59:24

万豪也因泄露3.83亿用户信息面临9900万英镑罚款

GDPR  万豪  隐私保护  

来源: https://mp.weixin.qq.com/s/WrNApSHg2R4xQiQKxzUmBg

安全牛

继英国航空公司 (British Airways,简称BA) 因数据泄露被开出创纪录的2.3 亿美元罚单之后,国际酒店集团万豪也将面临英国数据隐私监管机构开出的 9920万英镑(约1. 23 亿美元)的罚单,原因是其于 2016 年收购的喜达屋酒店多年前所发生的数据泄露事件影响了 3.39 亿用户。


据悉,万豪酒店于 2018 年 9 月 8 日发现了这一漏洞,但一直等到 11 月 30 日才对外披露了此事,而该漏洞甚至可以追溯到 2014 年的喜达屋酒店数据泄露问题(万豪于 2016 年收购喜达屋酒店),这使得攻击者有能力自 2014 年开始就访问喜达屋酒店数据库。至于受影响的用户数量,万豪给出的最初估值为 5 亿,现在也减少到了 3.83 亿。

虽然攻击者只复制了 910 万个加密的支付卡号码,但是长期存在的数据泄露现象使得他们能够访问数亿客户的敏感个人信息,包括护照复印件、出生日期以及酒店预订日期等等。

本周二(7月9日),万豪向美国证券交易委员会 (SEC) 提交了一份报告,披露了英国信息委员会办公室 (ICO) 因其违反欧盟《通用数据保护条例》(GDPR,2018年5月25日生效)而向其处以 99,200,396 英镑罚款的事情。

针对此事,万豪国际集团总裁兼首席执行官 Arne Sorenson 表示:

我们对 ICO 的决定通知感到失望,我们将对此提出异议。万豪一直与 ICO 合作在调查这起事件,该事件涉及对喜达屋客户预订数据库的一起犯罪攻击。

据悉,就在 ICO 宣布针对万豪酒店的罚款通知前一天,英国航空公司 (BA) 也因为 2018 年的网站违规行为影响了 50 万名客户而收到了 GDPR 实施以来最高的罚款记录——1.83 亿英镑。对于这项罚款,英国航空公司同样提出了质疑,表示会继续上诉。

万豪酒店也打算针对此次罚款进行上诉,谷歌也是如此,由于其违反了《通用数据保护条例》(GDPR) 的透明性原则、提供充分信息以及针对个性化广告缺乏数据处理的合法性基础,而被法国数据监管机构 CNIL 处以 5000 万欧元的高额罚款。

今天,ICO 表示,ICO 代表其他欧盟成员监管机构针已经对万豪违规行为进行了调查,结果发现,共计 3000 万欧洲居民受到了万豪数据泄露事件的影响,其中包括 700 万英国居民。而在 2016 年万豪收购之前两年,喜达屋的酒店预订系统就已经遭到了破坏。但是这一问题直到 2018 年才被发现,这也就意味着,自 2014 年起攻击者就能够访问喜达屋的数据库。

对此,ICO 已经裁定万豪在收购喜达屋之时未能进行 “充分的尽职调查”,并且没有采足够的措施来增强安全性。


ICO 专员 Elizabeth Denham 评论称:

GDPR 明确规定,组织必须对其持有的个人数据负责。这包括在进行公司收购时进行适当的尽职调查,并制定适当的问责措施,在评估已经获取的个人数据的同时,还需要评估这些数据是如何受到保护的。个人数据具有实际价值,因此组织有法律义务确保其安全性,就如同他们对待任何其他资产一样。如果不这样做,ICO 会毫不犹豫地采取强有力的行动,以切实地保护公众的权力和安全。

二号老头 - 2019-07-12 16:59:24

GDPR  万豪  隐私保护  Qati  百度爬虫  

122019-10
隐私保护从“剪刀手”开始amip

上海信息安全行业协会副主任张威给出一个吓人的提醒:拍照时如果镜头距离够近,“剪刀手”照片通过放大和人工智能技术提取,就能将人物的指纹信息还原出来...

312019-08
换脸软件ZAO疯传背后存巨大风险,建议注册时谨慎点击“同意”!amip

这款8月30日刚刚在各大应用商店正式上线的App,在 31 凌晨就出现了服务器满负荷的情况。“人太多太多了,工程师在买服务器……”今天中午,ZAO官方助手发微博说...

262019-08
如何加大个人隐私保护力度?——民法典人格权编、侵权责任编草案三审稿四大看点amip

近年来,各地宾馆、民宿、试衣间等场所针孔摄像头偷拍事件屡有发生,引发公众担忧;另一方面,大量电子邮箱地址、公众人物行踪信息等被不法分子盗取放在网络平台上售卖,造成严重的人...

262019-08
新标速递 | 【隐私保护大会】汇集思想领袖,解读全新标准ISO/IEC 27701:2019,隐私至关重要amip

2019年8月7日重磅发布的ISO/IEC 27701隐私信息管理体系(PIMS)国际标准,针对涉及个人数据处理的各种类型(不论其是否盈利性组织,不论其规模有多大)的组织...

182019-07
大数据时代下,“匿名化”真的能保护我们的隐私安全吗?amip

大数据时代下,数据的收集与应用在带来巨大社会价值的同时,也带来了个人隐私保护方面的难题。如何在对数据进行挖掘应用的过程中保护个人隐私,防止敏感信息的泄露成为新的挑战...

172019-07
人民日报势所必然:兼顾人工智能应用和隐私保护amip

如何在人工智能应用中兼顾隐私保护,确保安全、可靠、可控,是一项亟须关注的伦理课题...

172019-07
中青报:隐私保护的“中国方案”该如何完善amip

互联网企业广泛收集用户各类信息加以整理分析利用,从中攫取到巨大的经济效益。在这过程中,暴露出的个人数据安全、隐私保护等问题却被忽视...

152019-07
点开网页瞬间被窃取隐私 访客手机号码被卖1元1条amip

记者亲测了网络售卖的“最新抓取技术”,用4台不同号码的智能手机浏览“做了手脚”的网站,其中2台手机的号码被成功抓取...

152019-07
Chrome隐身模式可能没有你想得那么能保护个人隐私amip

使用隐身模式后,您的雇主、您的互联网服务提供商或者您访问的网站本身,还是可以查看您的网站访问活动记录。...

142019-07
Cookie 浏览器隐私保护amip

Cookie可以帮助你一键查看和清除所有安装的浏览器内的Cookie、历史记录、缓存,并且可以防止网站Cookie的追踪,提高对个人数据隐私的保护...

142019-07
Hider 隐私保护工具amip

Hider是mac平台上最实用的隐私保护工具。对比Hider一代软件,Hider 2 for Mac版无论是功能还是风格上软件都做了较大的改进,还新增了类似1Passwo...

142019-07
浅谈GDPR技术措施中的五个关键场景amip

GDPR在欧盟地区正式全面实施,尽管只是一部只在欧盟区域内部实行的法律,却也在国际范围内引起了广泛的关注...

132019-07
中国网民个人隐私状况调查:我们在意隐私吗?amip

报告显示,经常担心自己信息在网上泄露的网民比例占将近四成,完全不担心的网民比例不到10%...

132019-07
大数据时代,无处安放的个人隐私amip

大数据时代,互联网企业平台收集用户信息该如何衡量?数据的使用边界到底在哪里?谁来为消费者的隐私安全护航?...

132019-07
因数据泄露,脸书或被重罚50亿美元!amip

美国联邦贸易委员会当天批准与脸书公司达成一项约50亿美元的和解协议。如果协议最终通过,将成为美国政府对科技公司开出的最大罚单...

132019-07
大数据时代的隐私还能保护吗?amip

全球的个人隐私相关法律却在大数据和算法的时代却是蹒跚前行。...

122019-07
德勤:2017亚太区隐私与个人信息保护白皮书amip

亚太经合组织《隐私保护框架》提出了共同原则,有助于实现亚太各国家/地区隐私与个人信息保护法规要求的协调一致。虽然该框架目前已包括跨境传输相关原则,但不具有约束力,但该框架...

122019-07
国务院政策例行吹风会:将从多方面对个人隐私进行保护amip

健康医疗信息的泄露,不但给个人造成很大的困扰,同时也会造成经济损失,如果像基因这样特别的数据流失的话,可能对我们国家安全造成威胁...