涉外法律|GDPR典型案例之英国
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;英国;欧盟;数据保护
本文约1444字,大概需要阅读6分钟。
上一期,我们分析了欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效后,对欧盟乃至全球范围内个人数据保护和数字经济的影响。尤其是执法层面,依据GDPR 执法的案例,将作为体现监管态势的重要参照,为跨国企业的数据保护合规工作提供风向标。本次我们将一起来看看英国的两个典型案例。
案例一:英国航空公司数据泄露事件
提要:
1. 拟处罚金额:2.04 亿欧元
2. 处罚依据:Art. 32 GDPR
3. 处罚时间:2019/7/8
案件概述:
2018 年6 月起英国航空公司网站发生了数据泄露事件,9 月英国航空公司向ICO 通报该数据泄露事件。
该事件导致约50 万名英航乘客的个人信息被泄露。在该事件中,用户流量被移转到虚
假网站,攻击者通过这个虚假网站收集了客户详细信息,包括客户个人信息和银行卡信息,如姓名、地址、邮箱,以及信用卡的号码、有效期和背面的验证码(CVV)等。事件爆发后,英国航空公司配合ICO 调查并对安全系统进行整改,获得向ICO 提出有关拟议调查结果和制裁的陈述机会。
此外,ICO 作为牵头监督机构,代表其他欧盟成员国数据保护机构调查此案件。它还与
其他监管机构联络。根据GDPR“一站式服务”规定,受影响的欧盟数据保护机构也将有机会对ICO 的调查结果发表评论。针对此次事件,ICO 拟对英国航空作出2.04 亿欧元的罚款决定。
违规分析:
英国航空公司缺乏保障信息安全的技术和组织措施。
合规启示:
1. 企业应当在日常的经营活动中重视并定期开展合规性检查,在系统安全方面采取更多、有效的保护措施;
2. 应对数据泄露事件时,事前形成相对完善的数据管理制度,采取防护措施,事中采取及时调查、主动上报、积极止损的方式,与监管机构保持良好密切的沟通,并将数据泄露的事实告知数据主体,有助于将影响控制在尽可能小的范围内。
案例二:万豪集团数据泄露事件
提要:
1. 拟处罚金额:1.1 亿欧元
2. 处罚依据:Art. 32 GDPR
3. 处罚时间:2019/7/9
案件概述:
2018 年11 月,万豪国际集团公开披露其旗下喜达屋酒店客房预订系统数据泄露事件。该事件导致3.39 亿酒店客户信息被黑客窃取,涉及到3000 万来自31 个欧洲经济区(EEA)国家的居民,其中包括700 万英国居民。
万豪国际在2016 年9 月收购了喜达屋酒店。据ICO 调查,喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014 年7 月起便存在,直到2018 年才发现此漏洞。
针对此次事件,ICO 拟对万豪国际集团作出1.1 亿欧元的罚款决定。
违规分析:
1. 收购喜达屋酒店时未作充分的尽职调查发现系统漏洞。
2. 在保证酒店系统安全方面,万豪国际缺乏保障信息安全的技术和组织措施。
合规启示:
1. 企业须在兼并和收购背景下重视数据共享的重要性,将其视为潜在的 “优先项” 。只要标的公司的业务涉及数据,则应当把数据合规尽职调查放到与公司其他资产尽职调查同等重要的地位,遵守GDPR 治理和责任要求,从而避免日后发生数据漏洞给企业带来的巨额损失;
2. 企业应当在日常的经营活动中重视并定期开展合规性检查,在系统安全方面采取更多、有效的保护措施;
3. 应对数据泄露事件时, 事前形成相对完善的数据管理制度,采取防护措施,事中采取及时调查、主动上报、积极止损的方式,与监管机构保持良好密切的沟通,并将数据泄露的事实告知数据主体,有助于将影响控制在尽可能小的范围内。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾