英航 38 萬筆客戶個資遭竊,最高可能被罰 193 億台幣──GDPR 時代,個資外洩對個人與企業的衝擊

英航 38 萬筆客戶個資遭竊,最高可能被罰 193 億台幣──GDPR 時代,個資外洩對個人與企業的衝擊

英國航空(British Airways)在上周四( 9 月 6 日)爆出顧客財務個資被竊取的新聞,不但立即成為英國各大新聞媒體的頭條之一,英國各大銀行也紛紛採取行動,提供被此事件波及到的客戶必要的協助。

這是號稱史上最嚴格,且罰款最高的個資保護法──歐盟個資保護法《General Data Protection Regulation》(簡稱 GDPR,相關內容請參考《刪臉書,有用嗎?──從影響 5 千多萬用戶的「劍橋分析」竊資案,看網路時代如何保障個資》)在今年 5 月正式上路後,英國第一次出現大型企業客戶個資被盜的案例,因此格外引人注意。無論是企業、消費者、金融機構或法律界,都非常關注此事件帶來的衝擊。

英國航空高達 38 萬筆資料遭竊

報導指出,英國航空的官網遭到駭客入侵,竊取了高達 380,000 筆客戶信用卡資料。英航表示,雖然網站已在 9 月 6 日完成修復,恢復正常運作,也已經主動聯絡被影響的用戶,並提出 100% 的賠償,但仍呼籲在英國時間 8 月 21 日 22:58 到 9 月 5 日 21:45 間,曾在英航官網或英航 APP 購買機票的民眾,如果擔心自己可能受到此事件影響,應盡快和發卡銀行聯絡,採取防詐騙的相關配套措施。

作為英航的忠實顧客,本來我對英航的新聞就特別關心,而當我聽到新聞中指出的時間段,更震驚地發現自己剛好在這段期間訂了一張東京到上海的機票!於是我立馬打電話給我的銀行,沒想到銀行動作超快,早就設立專線,除了顯示對此事件的重視,也可想像受到波及的客戶人數應該不少。雖然資料顯示我的帳戶尚未受到影響,但為了保險起見,銀行還是迅速發了一張新卡給我,將潛在的風險降到最低。

雖然這個事件沒有對我造成任何實質上的財務損失,只有心理上受到一點驚嚇,還有因為換卡造成的一些不便,但我仍要老實地說,我對英航的好感度仍然因此大打折扣──畢竟在這個高度重視個資保護的時代,不管是什麼原因造成的個資外洩,都深深考驗著消費者對品牌的信任。

顯然,對英航好感度騶降的不只我而已,英航母公司國際航空集團(International Airlines Group)的股價M也在新聞爆出隔天(9月7日)跌了 1.4% 。

但是對英航來說,和消費者的觀感、母公司的股價相比,更嚴重的其實是在「 GDPR 時代」,如果被資訊委員辦公室(Information Commissioner's Office)證實這項個資被盜案,是由於英航在處理個資時的瑕疵所造成,英航將有可能面對被開罰的結果,而根據GDPR 規定,罰款最高可達其全球年度總營收的 4% ──以英航 2017 年的全球總營收 120 億英鎊來算,這張罰單大約就是 4.8 億英鎊(約 193 億臺幣)的天價!

正式脫歐之後,英國仍然承襲 GDPR 的規範

這麼嚴重的懲罰,足以顯示歐盟對個資保護的決心,而英國也不會因?在明年 3 月正式脫歐後,就不需要再遵守 GDPR 的規定,因?英國政府早已針對這項疑慮提出說明,指出脫歐後適用於英國境內的英國個資保護法,基本上完全承襲 GDPR 的內容,也遵循 GDPR 的六大基本原則,包括:

1. 公平與合法(Fair and lawful)。
2. 目的限制(Purpose limitation):搜集個資必須要有針對性的目的,且必須向當事人說明目的是什麼。
3. 儲存限制(Storage limitation):個資的搜集過程與儲存必須符合安全規定,譬如以安全性高的 FTP 傳送個資,而不是用風險性高的 email 方式寄送。
4. 資料限制(Data limitation):只蒐集和目的有關的必要個資,最小化需要搜集的個資範圍。
5. 資料必須是正確且是最新的(Accurate and up to date)。
6. 一致性/整合度(Confidentiality/integrity)。

我想在保護個資這個議題上,全球的趨勢都是把關越來越全面、執法越來越嚴格。畢竟在食衣住行都離不開網路的今天,如何讓消費者可以安心地使用網路,而不用擔心隱私與個人資料遭竊、或變成有心人士的「商機」,絕對是各國政府和各大企業最重要的課題。

執行編輯:張詠晴
核稿編輯:張翔一

Photo Credit:主附圖皆截自 British Airways@Twitter

畢業就出國