英国信息监管局对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!
2018年5月25日,《欧盟数据保护通用条例》(General Data Protection Regulation,简称“GDPR”)正式生效。但条例生效后的1年多,欧洲各国监管机构尚未对违规企业作出巨额罚款。终于,在2019年7月8日与9日,英国信息监管局(Information Commissioner’s Office,简称“ICO”)先后对英国航空和万豪国际开出1.83亿英镑和9920万英镑的巨额罚单,拉开GDPR强硬执法的序幕。
一、案件解读
(一)英国航空数据泄露事件
ICO对英国航空作出的1.83亿英镑的罚款是ICO至今所作出的最大一笔罚款,也是GDPR生效后在欧盟境内首笔大额的罚款,达到英国航空2018年全年营业额的1.5%。
该罚款针对的是2018年9月英国航空网站发生的数据泄露事件。在该事件中,用户被移转到虚假网站,攻击者通过这个虚假网站收集了客户详细信息,包括客户个人信息和银行卡信息,如姓名、地址、邮箱,以及信用卡的号码、有效期和背面的验证码(CVV)等。英国航空最初表示只有38万份客户资料外泄。在经过ICO详细调查后,确定信息泄露人数扩大到50万。
就此事件以及做出的处罚,ICO负责人Elizabeth Denham表示,“公民个人信息数据是极其私密的。当受委托的组织未能保护其客户数据免受损失、损坏或者被盗时,客户的潜在损失已经远远超过了给他们带来的不便。”
(二)万豪国际数据泄露事件
ICO对万豪国际作出的9920万英镑的罚款是有关数据泄露的第二笔巨额罚单,占万豪国际2018全年营业额的3%。
该罚款针对的的是万豪国际因其旗下喜达屋酒店的客房预订数据库被黑客攻击,泄露了全球约3.39亿条住户记录,其中包括3000万欧洲经济区(EEA)居民,700万英国居民。
据ICO调查,喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014年便存在。万豪国际在2016年收购了喜达屋酒店,但在2018年才发现此漏洞。ICO认为万豪国际在收购喜达屋酒店时未作充分的尽职调查,并且在保证酒店系统安全方面,万豪国际也未采取更多的保护措施。
数据漏洞在2014年喜达屋酒店集团系统遭到入侵后便开始出现。万豪随后于2016年收购了喜达屋,但直至2018年才发现该漏洞。ICO认为,万豪在收购喜达屋时未做充分的尽职调查,并且在保证实现酒店系统的安全性方面,万豪也未采取更多的保护措施。
就此事件以及做出的处罚,ICO负责人Elizabeth Denham表示“GDPR明确规定,组织应对其持有的个人数据负责。组织在收购时应当进行足够的尽职调查,不仅应采取适当的措施评估已取得的个人数据,还应当评估如何保护这些数据。”
Denham还表示,“个人数据具有真正的价值,因此组织有法律义务确保其安全,就像处理任何其他资产一样。如果组织没有这样做,ICO则会毫不犹豫地采取强有力的行动,以保护公众的权利。”
目前ICO对英国航空和万豪国际的处罚并非终局性处罚,两公司均表示会对ICO做出的处罚进行上诉。
二、对中国执法部门的建议
英国航空事件涉及约50万人的极度私密信息,万豪国际事件更是关系到全球3.83亿人的数据安全,其他大型数据泄露事件也屡见不鲜。安全情报提供商Risk Based Security的报告显示,2018年全球公开披露数据泄露事件超过6500起,有12起数据泄露事件涉及人数超过1亿。
我国虽在2019年3月全国人大的发布会上表示将制定数据安全法,但截止目前尚未明晰有关数据泄露的《数据安全法》的草案或者细节。我国《网络安全法》第42条第2款虽然规定了数据泄露的通知,但仅限于个人信息泄露,且缺乏必要的程序实施细则与处罚要求。这些均需要《数据安全法》进行补充加强,从而尽量降低泄露带来的损失。
参考GDPR以及欧盟数据保护委员会(European Data Protection Supervisor,简称“EDPS”)发布的《个人数据泄露报告指引》,数据泄露通知制度应当包括或明确以下内容:
数据泄露通知的主体。在GDPR规定下,数据控制者承担通知义务。我国现行的《网络安全法》适用对象分类为“网络所有者、管理者和网络服务提供者”。这种分类过于宽泛,且在实践中可能出现互相推诿责任的情形。故新的《数据安全法》应当明确通知的主体。
引发数据泄露通知的条件。在中国境内发生的泄露事件是一种情况,如果在中国境外发生泄露,也可能会对我国公民的个人信息产生实质性的影响,相关主体也应当负有通知义务。
数据泄露通知的程序。在数据泄露发生后,负有通知义务的主体应当向相关监管机构、受影响的主体及时发出通知,告知事件的性质、范围、数据类型、被影响的数据主体的数量以及损害程度、严重性与持续时间,并应当采取适当的补救措施。
三、对中国企业的启示
1.欧盟各国数据保护机构对GDPR的执法力度增强。
在欧盟对英国航空开出1.83亿英镑罚款之前,ICO对外数据安全漏洞做出的罚款最高额仅为50万英镑(GDPR体系前的法定最高额)。对英国航空和万豪国际拟处的罚款标志着GDPR体系下对于安全漏洞事故的处罚金标准。
组织在处理数据安全问题时,除了要考虑GDPR第32-34条规定的个人数据安全以及数据泄露对应的处罚金额外(最高额1000万欧元或全球年度营业额2%),还必须考虑GDPR第5条个人数据处理基本原则中(1)(f)项规定的数据完整性与保密性原则。如果发生未经授权或非法处理数据事项,监管机构可以科处最高额2000万欧元或全球年营业额4%的罚款(以较高者为准)。
目前尚不确定ICO计算罚款的标准,例如在英国航空案中是其全年营业额的1.5%,万豪国际案是其全年营业额的3%,但ICO在其发布的《监管行动政策》中对罚款金额的考虑要素共有三个方面,包括:(i)组织违规行为的性质、严重程度以及持续时间;(ii)受影响的个人信息的类型;(iii)处以罚金的有效性、程度相称性和劝阻性。
ICO称,对外公布处罚的目的是确保有关组织遵守法律,并对于组织的侵权行为起到有效的震慑作用。通过对英国航空和万豪酒店的执法行动,并对比GDPR体系前的处罚金额,可以看出ICO试图重新定义处罚金与违约行为之间“程度相称”的标准,以达到GDPR所要求的对数据的高水平保护。
2.GDPR执法机构对于设立在欧盟境外组织亦积极执法,中国企业应敲响合规警钟
根据GDPR第3条的规定以及EDPS发布的《关于GDPR地域管辖的指引》,只要该组织向欧盟境内的个人提供商品或服务(不管是否付费),均要受到GDPR的规制。例如,在万豪国际事件中,虽然万豪国际设立在美国,其泄露的3.83亿人数据也并不全是欧盟人,但只要其向欧盟境内的个人提供了商品或服务,则万豪国际就要受到GDPR的管辖。
这一要求为中国在全球范围内提供服务的企业敲响了警钟,特别是我国某些已经在欧洲积累了较大的用户的企业,例如国内极为火热的手游国际版在欧洲、北美地区上线后,注册用户已经超过两亿,每日活跃用户高达8000万。如此大规模的用户除了带来可观的收入之外,也为企业数据合规带来极大风险。
然而,与前述中国企业全球服务趋势相矛盾的是,我国企业对于用户数据保护的自觉意识仍十分缺乏,整体合规程度低。南都大数据研究院对企业隐私政策的测评更显示样本中50%的APP存在越限获取用户信息的情形,整体上不合规企业所占比例高达80%。这样的情况下,如果欧盟各国GDPR监管机构对有出海业务的国内企业进行严格检查,可能导致严重的结果。
3.企业在日常经营活动需重视对数据的保护
在英国航空事件中是因网站系统不安全而招致的数据隐患,同样在万豪国际事件中的酒店预订系统数据自2014年便存在。如果企业在日常的经营活动中便重视并做定期的合规性检查,不仅可以降低企业不履行法律义务和违反法律的可能性,且相较事件爆发后收到执法机构的处罚,提前发现问题通常解决起来更简单,所消耗的金钱成本更低。
目前国内发布的《信息安全技术、个人信息去标识化指南(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》、《信息安全技术个人信息安全规范(征求意见稿)》、《信息安全技术个人信息安全影响评估指南(征求意见稿)》等国家标准为企业合规提供了相对具体的指引。其中与企业日常数据合规最为相关的是《信息安全技术个人信息安全影响评估指南(征求意见稿)》(简称“PIA指南”)。该指南编制说明,该指南不仅适用于“各类组织自行开展个人信息安全影响评估工作”,也适用于“为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据”。
通过定期个人信息安全影响评估不仅帮助检查组织内部的合规性,还可以帮助组织在持续合规性审计或调查中证明其遵守了相关个人信息与数据保护法律法规和相关国家标准要求。一旦发生个人信息安全风险或违规事件,个人信息安全影响评估报告作为证据证明组织已经采取适当措施试图阻止上述情况发生,这可以有助于减轻、甚至免除相关责任和名誉损失。
此外,通过个人信息安全影响评估,组织还可以对员工进行个人信息保护教育,使之警惕可能给组织带来损失的个人信息安全问题。
4.须重视资本市场投并购项目中的数据合规尽职调查
在万豪国际事件中,ICO认定万豪国际在收购喜达屋酒店时未作充分的尽职调查发现系统漏洞,并且在保证酒店系统安全方面,万豪国际也未采取更多的保护措施。这一巨额处罚本可以在16年收购时的尽职调查过程中予以避免,但因为当时对数据调查未施以过多的重视,没有进行的足够深入,16年埋下的隐患于18年爆发。这一教训也提醒了在资本市场的投资、并购项目中,数据合规以及尽职调查的重要性。只要标的公司的业务涉及数据,则应当把数据合规尽职调查放到与公司其他资产尽职调查同等重要的地位,从而避免此类数据漏洞日后给企业带来的巨额损失。(作者为环球律师事务所律师)