信息化觀察網(wǎng)

2019年7月8日和9日，英國(guó)信息保護(hù)專員辦公室（ICO）接連對(duì)英國(guó)航空公司（British Airways）和萬(wàn)豪國(guó)際集團(tuán)（Marriot）開出1.83億英鎊（約2.3億美元）和9900萬(wàn)英鎊（約1.24億美元）的罰款，成為《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效后歐盟境內(nèi)的首兩筆巨額罰單。

目前，兩家公司已向ICO提起申訴。英航發(fā)表聲明稱，該罰款是其2017年財(cái)政年度全球營(yíng)業(yè)額的1.5％。而據(jù)萬(wàn)豪國(guó)際2018年財(cái)報(bào)載明的207.58億美元的總營(yíng)收測(cè)算，該罰款僅占其總營(yíng)收的0.6%。與英航50萬(wàn)客戶數(shù)據(jù)外泄相比，萬(wàn)豪3.39億的數(shù)據(jù)泄露總量遠(yuǎn)超英航，可ICO對(duì)萬(wàn)豪的罰款金額和比例卻更低，原因?yàn)楹危?/p>

GDPR第5條第1款第（f）項(xiàng)指出，數(shù)據(jù)處理應(yīng)當(dāng)以確保個(gè)人數(shù)據(jù)適當(dāng)安全性的方式進(jìn)行，包括采取適當(dāng)?shù)募夹g(shù)或組織措施以保護(hù)數(shù)據(jù)免遭未經(jīng)授權(quán)或非法的處理，以及意外的丟失、銷毀或破壞。

據(jù)英國(guó)廣播公司報(bào)道，英航的數(shù)據(jù)外泄自2018年6月起發(fā)生，是由于其官網(wǎng)和移動(dòng)端程序遭篡改而導(dǎo)致用戶前往虛假網(wǎng)站輸入個(gè)人信息，泄露的信息涉及50萬(wàn)用戶的姓名、地址、郵箱、賬號(hào)密碼、訂單信息、信用卡號(hào)及驗(yàn)證碼（CVV）等。ICO經(jīng)調(diào)查認(rèn)為，英航未能采取充分的安全防護(hù)措施保障個(gè)人數(shù)據(jù)安全，其用戶登錄系統(tǒng)、信用卡支付系統(tǒng)、訂單維護(hù)系統(tǒng)等較為脆弱，因英航違反了GDPR規(guī)定的完整性和保密性義務(wù)而擬對(duì)其作出年?duì)I業(yè)額1.5%的罰款。

萬(wàn)豪則是由于其在2016年收購(gòu)喜達(dá)屋酒店時(shí)，未進(jìn)行充分盡職調(diào)查，對(duì)收購(gòu)過(guò)程中獲取的用戶數(shù)據(jù)未進(jìn)行風(fēng)險(xiǎn)評(píng)估和采取必要技術(shù)或組織措施加以保護(hù)，導(dǎo)致自2014年起便遭黑客竊取的喜達(dá)屋用戶數(shù)據(jù)直至2018年11月才被發(fā)現(xiàn)。最終全球約3.39億客戶數(shù)據(jù)被竊，包括用戶電話號(hào)碼、電子郵件、護(hù)照號(hào)碼、信用卡號(hào)碼和消費(fèi)記錄等敏感信息。萬(wàn)豪總部雖設(shè)于美國(guó)，但其在歐盟境內(nèi)開展經(jīng)營(yíng)活動(dòng)，此次數(shù)據(jù)泄露涉及歐洲31個(gè)國(guó)家的居民信息，其中700萬(wàn)條數(shù)據(jù)與英國(guó)居民有關(guān)。由于萬(wàn)豪作為數(shù)據(jù)控制者未采取措施確保安全水平與風(fēng)險(xiǎn)程度相一致，ICO將對(duì)其施以全球總營(yíng)收0.6%的罰款。

同是由于過(guò)失和數(shù)據(jù)安全防護(hù)措施不到位而發(fā)生的數(shù)據(jù)泄露，為何持續(xù)時(shí)間更長(zhǎng)、影響范圍更廣、泄露數(shù)據(jù)量更大的萬(wàn)豪卻受到更小的處罰？其實(shí)，作為處罰依據(jù)的GDPR授予了監(jiān)管機(jī)構(gòu)較為寬泛的行政處罰裁量權(quán)。GDPR對(duì)于違法行為并未設(shè)置具體的處罰幅度，僅規(guī)定了2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入4%的最高金額限制。

GDPR第83條規(guī)定了監(jiān)管機(jī)構(gòu)在個(gè)案中決定是否處罰及處罰時(shí)應(yīng)考慮的因素，或許可基于此窺見ICO作出不同處罰的緣由。

一是事前為防范風(fēng)險(xiǎn)所采取的組織和技術(shù)上的手段。雖然兩家企業(yè)均因自身的管理漏洞而致使數(shù)據(jù)泄露，但二者為應(yīng)對(duì)風(fēng)險(xiǎn)的努力程度不同。萬(wàn)豪由于設(shè)置了數(shù)據(jù)庫(kù)監(jiān)控告警系統(tǒng)而發(fā)掘了該漏洞，此次遭受黑客挾持的數(shù)據(jù)中，860萬(wàn)信用卡數(shù)據(jù)和約2030萬(wàn)顧客的護(hù)照號(hào)碼已加密，降低了數(shù)據(jù)泄露的影響范圍。而英航官網(wǎng)遭受明顯篡改，用戶流量被劫持到欺詐網(wǎng)站長(zhǎng)達(dá)三個(gè)月卻不得知。

二是事中為減輕數(shù)據(jù)主體損失而采取的措施。萬(wàn)豪意識(shí)到可能存在泄露危機(jī)后，三天內(nèi)便聘請(qǐng)第三方專業(yè)安全團(tuán)隊(duì)協(xié)助調(diào)查取證和及時(shí)止損。相較而言，英航對(duì)于數(shù)據(jù)泄露事件的反應(yīng)較為緩慢，未及時(shí)采取止損措施，短期內(nèi)造成了大量數(shù)據(jù)泄露。

三是事后是否主動(dòng)告知違法行為及與監(jiān)管機(jī)構(gòu)的配合程度。2018年11月萬(wàn)豪發(fā)現(xiàn)漏洞后便主動(dòng)向ICO等監(jiān)管機(jī)構(gòu)如實(shí)報(bào)告和向公眾披露。相比之下，英航的數(shù)據(jù)泄露自2018年6月發(fā)生，3個(gè)月后才向ICO報(bào)告，同時(shí)，英航最初表示只有38萬(wàn)用戶數(shù)據(jù)外泄，而經(jīng)ICO調(diào)查后，該數(shù)據(jù)泄露范圍擴(kuò)大到50萬(wàn)。

英航和萬(wàn)豪數(shù)據(jù)泄露事件也為我國(guó)在歐洲乃至全球范圍內(nèi)開展業(yè)務(wù)的企業(yè)敲響了警鐘，向歐盟境內(nèi)的個(gè)人提供商品或服務(wù)的美國(guó)企業(yè)萬(wàn)豪便受到了GDPR“長(zhǎng)臂管轄原則”的約束。為此，我國(guó)企業(yè)可從以下幾個(gè)方面完善：

一是開展海外投資活動(dòng)前注重?cái)?shù)據(jù)合規(guī)風(fēng)險(xiǎn)調(diào)查。萬(wàn)豪在2016年收購(gòu)喜達(dá)屋酒店時(shí)因?qū)?shù)據(jù)問(wèn)題未施以足夠重視，導(dǎo)致2016年埋下的數(shù)據(jù)合規(guī)隱患于2018年爆發(fā)。2019年，我國(guó)企業(yè)字節(jié)跳動(dòng)就因在2017年所收購(gòu)的Musical.ly存在非法搜集兒童個(gè)人信息行為，遭受美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）570萬(wàn)美元的罰款。我國(guó)企業(yè)在開展海外投資時(shí)，只要標(biāo)的公司業(yè)務(wù)涉及數(shù)據(jù)，就應(yīng)將數(shù)據(jù)合規(guī)盡職調(diào)查置于重要地位，做好數(shù)據(jù)安全評(píng)估并對(duì)承接的數(shù)據(jù)采取適當(dāng)對(duì)安全防護(hù)措施。

二是做好全流程的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)檢查。英航和萬(wàn)豪均是由于日常經(jīng)營(yíng)活動(dòng)中忽視定期數(shù)據(jù)合規(guī)審計(jì)造成的嚴(yán)重后果。面對(duì)日益嚴(yán)峻的信息保護(hù)局勢(shì)和嚴(yán)苛的監(jiān)管處罰，我國(guó)企業(yè)需提高風(fēng)險(xiǎn)防范意識(shí)，在日常經(jīng)營(yíng)中積極對(duì)照合規(guī)要求，從法律、管理、技術(shù)角度全面評(píng)估，采取適當(dāng)措施確保數(shù)據(jù)安全。同時(shí)注重對(duì)第三方供應(yīng)商和合作方數(shù)據(jù)合規(guī)的跟蹤監(jiān)控，防止第三方數(shù)據(jù)安全風(fēng)險(xiǎn)蔓延至自身。

三是購(gòu)置網(wǎng)絡(luò)安全保險(xiǎn)，提升企業(yè)風(fēng)險(xiǎn)應(yīng)對(duì)能力。萬(wàn)豪首席財(cái)務(wù)官稱，事先購(gòu)買的網(wǎng)絡(luò)安全保險(xiǎn)使得泄露事件產(chǎn)生的應(yīng)對(duì)成本得以降低，雖未能全部覆蓋ICO可能對(duì)其作出的處罰，但不會(huì)影響公司長(zhǎng)期財(cái)務(wù)健康。近年來(lái)全球網(wǎng)絡(luò)安全風(fēng)險(xiǎn)驟增，而我國(guó)企業(yè)每年針對(duì)網(wǎng)絡(luò)安全的投入不到3%，若遭遇數(shù)據(jù)合規(guī)危機(jī)恐難以應(yīng)對(duì)，購(gòu)置相應(yīng)的網(wǎng)絡(luò)安全保險(xiǎn)十分必要，用以覆蓋受損數(shù)據(jù)還原、受影響用戶通知和索賠、調(diào)查取證、系統(tǒng)修復(fù)等費(fèi)用。

四是積極配合監(jiān)管部門進(jìn)行數(shù)據(jù)合規(guī)監(jiān)督。對(duì)監(jiān)管機(jī)構(gòu)的配合程度是ICO對(duì)英航和萬(wàn)豪作出不同處罰的重要考量。我國(guó)企業(yè)在經(jīng)營(yíng)活動(dòng)中遭遇數(shù)據(jù)合規(guī)危機(jī)時(shí)，內(nèi)部需要采取有效措施避免損失進(jìn)一步擴(kuò)大，外部需要及時(shí)告知用戶并通報(bào)監(jiān)管部門，保持公開和透明度，妥善應(yīng)對(duì)數(shù)據(jù)管理違規(guī)事件，做好輿情應(yīng)對(duì)，向監(jiān)管部門展示解決問(wèn)題的誠(chéng)意和為保障數(shù)據(jù)安全所做的努力。

此前，ICO對(duì)外作出的罰款均未超過(guò)50萬(wàn)英鎊，差異懸殊的處罰幅度使得歐盟各國(guó)漸表現(xiàn)出對(duì)監(jiān)管者濫用裁量權(quán)的擔(dān)憂。為確保制裁有效、合比例和有威懾，立法者也相繼發(fā)布了有關(guān)裁量基準(zhǔn)。歐盟數(shù)據(jù)保護(hù)委員會(huì)曾制定《GDPR罰款適用和確定指南》，但不夠詳盡。為此，德國(guó)于2019年10月出臺(tái)了《聯(lián)邦和州獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)關(guān)于確定企業(yè)罰款數(shù)額的指南》，對(duì)確定罰款數(shù)額的考量因素、核定步驟、例外情形詳細(xì)說(shuō)明。我國(guó)企業(yè)需要結(jié)合境外經(jīng)營(yíng)當(dāng)?shù)氐奶幜P細(xì)則和實(shí)踐，判斷海外數(shù)據(jù)違規(guī)成本和風(fēng)險(xiǎn)，從事前、事中、事后各階段做好數(shù)據(jù)合規(guī)應(yīng)對(duì)。