【欧洲时报网】今天,英国规模最大航空公司之一的英国航空(British Airways),也就是中国小伙伴们都熟悉的“英航”,被一条高达1.83亿英镑的天价罚单给吓懵了!
图为BBC报道。(图片来源:BBC News网页截图)
给英航开出这张罚单的,是英国信息委员会办公室(The Information Commissioner's Office,简称ICO)。
至于说罚款金额“破纪录”,对比一下的话,此前由于信息安全相关问题曾经在英国境内开出的最高额罚单,是去年(2018年)10月因为“剑桥分析丑闻”而被罚50万镑的Facebook……
相当于此次英航的罚单金额是Facebook的366倍!
而这一切,都是起源于去年9月曝出的英航用户信息大面积泄露事件……
被黑乘客数从38万升至50万,到底哪些信息被盗?
英航大范围乘客个人信息泄露,最早是在去年9月6日曝光的。
当时英航方面公布的情况是:泄露发生在2018年8月21日22:58到9月5日21:45,受到影响的用户大约38万人,他们被黑客获取的个人信息包括姓名、电子邮件地址、家庭住址、付费银行卡信息,但未涉及旅行时间安排或护照信息。
然而在今天ICO公布的调查结果显示,实际影响比这更糟糕:英航网站漏洞不是从去年8月开始,而是6月起就已经中招;估计受影响人数为50万,远超去年英航公布的38万人;泄露信息除了上面提到英航承认的类别之外,还包括用户的网站登录用户名与密码,以及旅行订票细节。
至于信息窃取和泄露的方式,去年9月一切还没有公布,当时有信息安全专家分析认为,可能是黑客在英航官网和嵌入英航官网链接接口的第三方网站嵌入了爬虫代码,“扒取”用户信息。
然而今天ICO公布的调查结果显示,黑客是通过黑进英航官网,直接把用户引导至一个“诈骗页面”,也就是让乘客误以为还在BA官网,但其实已经跳转去了假的网页,还什么都不知道地留下了自己的所有信息……
为何英航这次罚款金额这么高?
前面已经提到,英航此次罚单金额,是去年Facebook创下英国境内信息安全罚金纪录的366倍。
如此“天价”的罚单,是怎么开出来的?
这一切还得从去年英国刚刚生效的通用数据保护条例(The General Data Protection Regulation,简称GDPR)讲起。这项被英媒称为“20年来信息安全监管最强震”的全新法规,是欧盟颁布的GDPR的“镜像法规”。
前面提到Facebook去年的50万镑罚单,是英国GDPR生效前的的最后一次大企业罚款处理;而英航的信息泄露事件,就成了GDPR生效后的第一个“出头鸟”……
根据新GDPR规定,企业由于信息安全疏漏而可能被处以的罚金,最高可达年度营业额的4%。
而此次英航的1.83亿镑罚金,相当于其2017年全球营业额的1.5%,并没有达到上限,也算是ICO“手下留情”了。BBC称,如果按照4%来计算,那这次BA的罚单金额将飙升至5亿英镑!
这么一算,英航在2017年的全球营业总额应该在122亿镑到125亿镑之间……
突然一点都不心疼了呢。
英航:伐开心,要申诉
对于ICO开出的这笔1.83亿镑罚单,英航首席执行官亚历克斯·克鲁兹(Alex Cruz)是并不接受的,他称该裁决令英航方面“惊讶且失望”。而且下面这段话,明显看出来他是一点也不认为英航有任何做错的地方:
“英航面对这样一起偷盗消费者信息的犯罪行为,反应是很及时的。并且,在与此次窃取行为相关的所有账户中,我们没有发现任何它们已遭遇诈骗行为的证据。”
“对这件事所造成了所有不便,我们向消费者道歉。”
简单总结,克鲁兹的言论有两层意思:1) 英航已经很尽职尽责了;2) 又没人真的丢钱,就别咬着我们不放了吧!
而英航母公司国际航空集团(IAG)首席执行官威利·沃什(Willie Walsh)的回应,就更是明显要“硬杠到底”了:
“英国航空公司将就拟议的罚款向ICO提出申述。我们打算采取一切适当措施,积极捍卫航空公司的地位,包括提出任何必要的上诉。”
有意思的是,去年在信息泄露事件曝光后被英国网友全网嘲讽的英航,这次却成为了推特网友们“回护”的对象,或者大家的矛头转向了针对ICO:
@charlvdwalt:我觉得这会成为一个令人担忧的先例,我希望(英航)申诉能成功。整件事看下来@英航 也是受害者,而天价处罚受害者只会鼓励更多隐瞒和其他错误行为的发生……
@WilliamHughes4:英航=1.89亿镑罚单,窃取信息的犯罪分子=分文不丢继续犯罪,ICO=2019年年会可以在豪华游艇上举行了。
@MrAjayJose:所以呢?反正最后消费者还是一毛钱都拿不到,信息该泄露还是泄露掉了。
@Spoggy1967:英航顾客才是双重惨好么,不仅信息被窃取,而且最后还得通过高额机票的方式成为1.83亿镑的实际买单人……
那么这1.83亿镑的罚金,到位之后是真的就都直接归ICO支配了吗?
根据BBC解读,这笔罚金首先并不是全部收归英国政府,而是会分成几份,除了英方之外,直接交给欧盟的其他信息安全监管机构;
其中上交给ICO的这部分罚金,也是全款直接转交给英政府财政部。
至于消费者,他们只能另外向英航方面索取赔款,但英航至今为止没有任何关于此次事件相关的赔偿公告……
总之从今天算起,英航有28天的时间可以提出申诉……
至于最后结果如何,小伙伴们觉得1.83亿镑的罚单合适吗?
欧洲时报英国版微信公众号:UKZONE
(编辑:秋狸)