英国信息专员办公室(UK Information Commissioner’s Office,简称’ICO”)对美国酒店集团万豪(Marriott)进行了1840万英镑(约1.6亿元)的罚款,原因是该公司的数据泄露事件影响了全球数百万客户。
ICO的调查发现,万豪没有按照通用数据保护条例(GDPR)的要求,采取适当的技术或组织措施来保护其系统上的个人数据。
据悉,此次罚款金额其实比最初计划的要少,因为监管机构考虑了万豪的陈述、万豪为减轻事件影响所采取的措施,以及疫情对其业务的经济影响,然后才制定了最终的处罚。
此次数据泄露主要和喜达屋有关,万豪于2016年收购了喜达屋,但违规行为直到2018年11月才公布。
2016年,万豪国际斥资130亿美元收购了喜达屋环球酒店和度假村。该品牌包括圣里吉斯、喜来登酒店及度假村、W酒店、威斯汀酒店及度假村、雅高酒店、贡品组合、元素酒店、勒梅里登酒店及度假村、豪华精选等。
2018年11月,万豪宣布,疑似受2014年发生的安全漏洞影响,其旗下的喜达屋酒店多达5亿客人的数据遭到泄露风险。这是历史上最大的数据泄露事件之一,也是万豪酒店业遭受最严重的一次。
据该公司称,2014年,黑客开始入侵喜达屋的客人预订系统,并对信息进行复制和加密。黑客访问了近3.27亿客人的个人信息,泄露的记录包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、到达和离开信息、预订日期。喜达屋数据泄露案的调查显示,被盗数据还包括财务数据、支付卡号和支付卡截止时间,即使是已经加密的信息也没逃过。
据信息专员办公室说,数据泄露影响了3000万名欧洲居民,其中包括700万名英国居民。
英国监管机构认为,万豪在2016年收购喜达屋时没有进行充分的尽职调查,也没有采取必要措施确保其系统安全。“个人信息很珍贵,企业必须加以照顾。企业之所以需要严格保护客户数据,除了面临罚款惩罚之外,他们有义务保护数据。”
这不是万豪首次因数据泄露而遭到天价罚款。2019年7月,英国数据隐私监管机构宣布,根据GDPR,万豪国际因2014年数据泄露将面临9900万英镑(1.23亿美元)的罚款。
转载自:FreeBuf