点击图片,立即报名 来源:ICO官网 翻译:何渊,数据法盟主理人,上海交大数据法律研究中心执行主任
英国信息专员办公室(ICO)已对万豪国际公司(Marriott International Inc.)处以1840万英镑的罚款,原因是未能保护数百万客户的个人数据安全。
据万豪估计,2014年喜达屋酒店和度假村国际集团(Starwood Hotels and Resorts worldwide Inc.)遭受网络攻击后,全球有3.39亿客户记录受到影响。这起攻击来源不明,到了2018年9月,喜达屋才被万豪收购。
涉及的个人信息因人而异,但可能包括姓名、电子邮件地址、电话号码、未加密护照号码、到达/离开信息、贵宾身份和忠诚计划会员号码等。
受影响人数的确切数字尚不清楚,因为可能存在一个客户有多次入住的记录。其中涉及英国人的700万笔记录。
ICO的调查发现,万豪未能按照欧盟通用数据保护条例(GDPR)的要求,采取适当的技术或组织措施来保护其系统上正在处理的个人数据的安全。
“个人数据很珍贵,企业必须加以保护。数百万人的个人数据受到万豪事件的影响;数千人联系了一个帮助热线,其他人可能不得不采取行动保护他们的个人数据,因为他们信任的公司没有做到。“当一家企业未能妥善处理客户数据时,其影响不仅仅是潜在的罚款,最重要的是真正履行保护用户数据的义务。”
ICO的调查可追溯到2014年的网络攻击,但处罚仅与2018年5月25日之后的违规行为有关,因为当时GDPR的新规开始生效。
由于违规行为发生在英国脱离欧盟之前,ICO代表作为GDPR下主要监管机构进行调查。处罚和行动已经通过GDPR的合作程序得到了其他欧盟数据保护机构的批准。
2019年7月,ICO向万豪发出罚款意向通知书。作为监管程序的一部分,ICO考虑了万豪的陈述、万豪为减轻事件影响而采取的措施以及COVID-19对其业务的经济影响,然后才作出最终处罚。
网络攻击细节
2014年,一名未知攻击者在喜达屋系统的一个设备上安装了一段名为“web shell”的代码,使他们能够远程访问和编辑该设备的内容。
利用此访问可安装恶意软件,使攻击者能够以特权用户的身份远程访问系统。因此,攻击者可以不受限制地访问相关设备,以及该帐户可以访问的网络上的其他设备。
因为喜达屋在网络中安装了其他登录工具,攻击者则进一步收集登录凭证。攻击者利用这些登录凭证访问并导出了存储在喜达屋客户预订系统的个人数据。
ICO承认万豪已迅速采取行动联系客户和ICO。它还迅速采取行动,减轻客户可能遭受损害的风险,并从那时起采取了一系列措施来提高其系统的安全性。 想系统学习数据合规的朋友请移步到“何渊数据合规俱乐部”,扫码进入:数据隐私与网络安全实务群 数据合规,合则生,不合则亡! 点击“阅读原文”,立即预订何渊《数据法学18讲》课程! |