时隔两年,万豪国际酒店集团旗下喜达屋酒店3.39亿客人个人信息泄露事件暂时告一段落。

当地时间10月30日,英国信息专员办公室(Information Commissioner’s Office, ICO)发布声明称,因未能保护客户个人数据安全,对万豪处以1840万英镑(约合人民币1.6亿元)罚款。

隐私护卫队注意到,这一金额远低于ICO在罚款意向通知中提出的9920英镑(约合人民币8.5亿元)。ICO称,本次处罚只针对万豪在欧盟《通用数据保护条例》(GDPR)生效后的违规行为。

编辑|石莹

因采取补救措施和疫情影响,罚款金额大幅减少

信息泄露事件曝光于2018年11月30日。彼时万豪称,旗下喜达屋酒店预订数据库中约5亿客人信息或泄露。

根据万豪的声明,泄露的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等信息,还有部分客人的支付卡卡号和有效期。

经过调查,ICO最终将受影响的客人数量确认为3.39亿。其中3000万来自欧洲经济区(EEA)覆盖的31个国家,受到影响的英国居民约有700万

尽管事件曝光于GDPR生效之后,但ICO指出,事件起因是喜达屋酒店在2014年遭受的网络攻击,而万豪是2016年收购喜达屋酒店之后,才于2018年9月发现这一漏洞。

攻击者通过向喜达屋酒店的系统设备植入恶意代码、安装恶意软件,可以特权用户的身份远程访问系统,导出喜达屋酒店预订数据库中的数据。

2019年7月,ICO曾发布公告,称万豪在收购喜达屋酒店时未进行充分调查,它本应采取更多措施来保护其系统。“GDPR明确要求数据持有者对其掌握的个人数据负责,这就包括了在收购时进行充分调查,不仅是对个人数据本身,也要评估它的相应保护措施。”信息专员Elizabeth Denham说。

因此,ICO对万豪发出了金额高达9920万英镑的罚款意向通知——这一数额约占万豪2018年全球营收的3%。不过这并非最终决定,万豪仍有机会就ICO提出的调查结果和制裁进行陈述。

随后,万豪在提交给美国证券交易委员会的一份文件中表示,对ICO的决定“非常失望”,并称将“发起抗辩”。万豪强调,在此次数据泄露事件中遭到入侵的喜达屋预订系统已经不再在商业运营中使用。

收到万豪的反馈后,ICO在10月30日的声明中认可了万豪在发现问题后立即联系客户和ICO,采取快速行动减轻客户遭受损害的风险,实施了多项措施提高其系统安全性等行为,并综合考虑了万豪为减轻事件影响所采取的措施,以及疫情对其业务的经济影响等多重因素,最终决定对其处以1840万英镑的罚款。

“个人数据非常宝贵,企业必须照顾好它。”Denham说,“当一家企业无法保护客户数据时,其影响不仅仅是可能被罚款。最重要的是,企业应该负起保护公众数据的责任。”

ICO还提到,由于这起事件发生在英国脱欧之前,ICO是作为主要监管机构代表所有欧盟当局进行调查,其处罚和行动均符合GDPR的程序要求,并已得到各欧盟国家数据保护机构批准。

除了罚款,万豪还面临多个集体诉讼

隐私护卫队梳理发现,ICO罚款大幅“缩水”并非首例

就在10月16日,ICO刚刚宣布了GDPR生效后最高金额的一笔罚款——英国航空42万名客户和员工的姓名、地址、银行卡号、CVV码等个人信息泄露。ICO认为,英航脆弱的安全防护措施是造成这起事件的重要原因,对其处以2000万英镑罚款。

与万豪类似,在ICO原本发出的罚款意向通知中,罚款金额为1.83亿英镑,约占英航2018年收入的1.5%。针对这一变化,ICO表示,是考虑到英航因疫情面临的经济影响,以及英航为解决这一问题所做的工作等因素,降低了罚款。

对此,有观点认为,这一举措突显了新冠疫情对监管的影响。就英航的罚款而言,在相关公司已经陷入困境的情况下,监管机构选择在财务处罚方面采取不那么强硬的态度。

不过,对于波及人数更多、产业链遍布全球的万豪来说,它面临的麻烦可能远不止ICO的罚款。

公开资料显示,事件发生后,美国联邦调查局表示密切关注,纽约、马萨诸塞、马里兰和伊利诺伊等各州的总检察长也纷纷开始着手调查此事。此外,仅2018年,就有个人和律所对万豪提起了至少两起集体诉讼,索赔超百亿美元。

据不完全统计,截至目前,万豪因此次信息泄露事件,在美国、加拿大等地均面临诉讼。2019年上半年,美国一名法官将11个集体诉讼合并为一个。今年二月,一名法官裁定,应继续对万豪发起诉讼。

不过,据隐私护卫队了解,在历史案例中,这类集体诉讼通常需要数年时间才能进入审判阶段,并且大多数情况下会达成和解。