从英航和万豪数据泄露案看企业的数据合规策略

2019年7月8日和9日，英国信息保护专员办公室（ICO）接连对英国航空公司（British Airways）和万豪国际集团（Marriot）开出1.83亿英镑（约2.3亿美元）和9900万英镑（约1.24亿美元）的罚款，成为《通用数据保护条例》（GDPR）生效后欧盟境内的首两笔巨额罚单。

目前，两家公司已向ICO提起申诉。英航发表声明称，该罚款是其2017年财政年度全球营业额的1.5％。而据万豪国际2018年财报载明的207.58亿美元的总营收测算，该罚款仅占其总营收的0.6%。与英航50万客户数据外泄相比，万豪3.39亿的数据泄露总量远超英航，可ICO对万豪的罚款金额和比例却更低，原因为何？

GDPR第5条第1款第（f）项指出，数据处理应当以确保个人数据适当安全性的方式进行，包括采取适当的技术或组织措施以保护数据免遭未经授权或非法的处理，以及意外的丢失、销毁或破坏。

据英国广播公司报道，英航的数据外泄自2018年6月起发生，是由于其官网和移动端程序遭篡改而导致用户前往虚假网站输入个人信息，泄露的信息涉及50万用户的姓名、地址、邮箱、账号密码、订单信息、信用卡号及验证码（CVV）等。ICO经调查认为，英航未能采取充分的安全防护措施保障个人数据安全，其用户登录系统、信用卡支付系统、订单维护系统等较为脆弱，因英航违反了GDPR规定的完整性和保密性义务而拟对其作出年营业额1.5%的罚款。

万豪则是由于其在2016年收购喜达屋酒店时，未进行充分尽职调查，对收购过程中获取的用户数据未进行风险评估和采取必要技术或组织措施加以保护，导致自2014年起便遭黑客窃取的喜达屋用户数据直至2018年11月才被发现。最终全球约3.39亿客户数据被窃，包括用户电话号码、电子邮件、护照号码、信用卡号码和消费记录等敏感信息。万豪总部虽设于美国，但其在欧盟境内开展经营活动，此次数据泄露涉及欧洲31个国家的居民信息，其中700万条数据与英国居民有关。由于万豪作为数据控制者未采取措施确保安全水平与风险程度相一致，ICO将对其施以全球总营收0.6%的罚款。

同是由于过失和数据安全防护措施不到位而发生的数据泄露，为何持续时间更长、影响范围更广、泄露数据量更大的万豪却受到更小的处罚？其实，作为处罚依据的GDPR授予了监管机构较为宽泛的行政处罚裁量权。GDPR对于违法行为并未设置具体的处罚幅度，仅规定了2000万欧元或者企业上一年度全球营业收入4%的最高金额限制。

GDPR第83条规定了监管机构在个案中决定是否处罚及处罚时应考虑的因素，或许可基于此窥见ICO作出不同处罚的缘由。

一是事前为防范风险所采取的组织和技术上的手段。虽然两家企业均因自身的管理漏洞而致使数据泄露，但二者为应对风险的努力程度不同。万豪由于设置了数据库监控告警系统而发掘了该漏洞，此次遭受黑客挟持的数据中，860万信用卡数据和约2030万顾客的护照号码已加密，降低了数据泄露的影响范围。而英航官网遭受明显篡改，用户流量被劫持到欺诈网站长达三个月却不得知。

二是事中为减轻数据主体损失而采取的措施。万豪意识到可能存在泄露危机后，三天内便聘请第三方专业安全团队协助调查取证和及时止损。相较而言，英航对于数据泄露事件的反应较为缓慢，未及时采取止损措施，短期内造成了大量数据泄露。

三是事后是否主动告知违法行为及与监管机构的配合程度。2018年11月万豪发现漏洞后便主动向ICO等监管机构如实报告和向公众披露。相比之下，英航的数据泄露自2018年6月发生，3个月后才向ICO报告，同时，英航最初表示只有38万用户数据外泄，而经ICO调查后，该数据泄露范围扩大到50万。

英航和万豪数据泄露事件也为我国在欧洲乃至全球范围内开展业务的企业敲响了警钟，向欧盟境内的个人提供商品或服务的美国企业万豪便受到了GDPR“长臂管辖原则”的约束。为此，我国企业可从以下几个方面完善：

一是开展海外投资活动前注重数据合规风险调查。万豪在2016年收购喜达屋酒店时因对数据问题未施以足够重视，导致2016年埋下的数据合规隐患于2018年爆发。2019年，我国企业字节跳动就因在2017年所收购的Musical.ly存在非法搜集儿童个人信息行为，遭受美国联邦贸易委员会（FTC）570万美元的罚款。我国企业在开展海外投资时，只要标的公司业务涉及数据，就应将数据合规尽职调查置于重要地位，做好数据安全评估并对承接的数据采取适当对安全防护措施。

二是做好全流程的数据合规风险检查。英航和万豪均是由于日常经营活动中忽视定期数据合规审计造成的严重后果。面对日益严峻的信息保护局势和严苛的监管处罚，我国企业需提高风险防范意识，在日常经营中积极对照合规要求，从法律、管理、技术角度全面评估，采取适当措施确保数据安全。同时注重对第三方供应商和合作方数据合规的跟踪监控，防止第三方数据安全风险蔓延至自身。

三是购置网络安全保险，提升企业风险应对能力。万豪首席财务官称，事先购买的网络安全保险使得泄露事件产生的应对成本得以降低，虽未能全部覆盖ICO可能对其作出的处罚，但不会影响公司长期财务健康。近年来全球网络安全风险骤增，而我国企业每年针对网络安全的投入不到3%，若遭遇数据合规危机恐难以应对，购置相应的网络安全保险十分必要，用以覆盖受损数据还原、受影响用户通知和索赔、调查取证、系统修复等费用。

四是积极配合监管部门进行数据合规监督。对监管机构的配合程度是ICO对英航和万豪作出不同处罚的重要考量。我国企业在经营活动中遭遇数据合规危机时，内部需要采取有效措施避免损失进一步扩大，外部需要及时告知用户并通报监管部门，保持公开和透明度，妥善应对数据管理违规事件，做好舆情应对，向监管部门展示解决问题的诚意和为保障数据安全所做的努力。

此前，ICO对外作出的罚款均未超过50万英镑，差异悬殊的处罚幅度使得欧盟各国渐表现出对监管者滥用裁量权的担忧。为确保制裁有效、合比例和有威慑，立法者也相继发布了有关裁量基准。欧盟数据保护委员会曾制定《GDPR罚款适用和确定指南》，但不够详尽。为此，德国于2019年10月出台了《联邦和州独立数据保护机构关于确定企业罚款数额的指南》，对确定罚款数额的考量因素、核定步骤、例外情形详细说明。我国企业需要结合境外经营当地的处罚细则和实践，判断海外数据违规成本和风险，从事前、事中、事后各阶段做好数据合规应对。

本文来自信息化观察者网，转载请注明出处。