英國GDPR重罰再出手,萬豪國際因資料外洩遭罰9900萬英鎊
繼昨天對英國航空(British Airways)祭出將近2億英鎊的處分後,英國資料保護主管機關再對2018年外洩5億客戶資料的全球最大飯店連鎖萬豪國際(Marriott International),重罰9,900萬英鎊(38.4億台幣)。
去年12月萬豪國際公佈旗下連鎖之一的喜達屋(Starwood)客戶訂房資料庫遭入侵,波及W Hotels、喜來登、威斯汀、艾美等知名飯店的住客資料。英國資訊專員辦公室(Information Commissioner's Office,ICO)周二以違反GDPR法為由,計畫判罰萬豪99,200,396英鎊。
ICO去年11月接獲萬豪通報後啟動調查,報告顯示全球近3.4億名住客資料外洩,其中包括31個歐洲經濟區國家的3千萬居民以及7百萬英國居民。
這起事件的主角喜達屋飯店集團2014年即已被駭,而後該集團於2016年被萬豪國際收購,直到2018年問題才爆發。ICO認為萬豪在收購喜達屋前並未做充份的盡職調查,以致未能投入更多以確保系統安全。
ICO主席Elizabeth Denham指出,GDPR法規清楚規定企業有責任保障其持有的個資,包括在進行企業收購時,應做適當的盡職調查(due diligence)及具備適當的權責措施,以評估收購了何種個資、及要如何保障。她並指出個資有其價值,一如其他資產,企業有確保其安全性的法律責任。如果企業失職,ICO必要時不惜採取強制手段保護公眾權利。
不過ICO表示萬豪集團在調查過程中展現配合,也在事發後改善安全管理,因此一如英航得以提出抗辯。而本事件影響到的其他歐盟國家也可以表達意見,以作為最終判決的參考。
萬豪周一透過向美國證管會遞交的文件對英國ICO的處分表達失望,將提出抗辯。該公司總裁暨執行長Arne Sorenson說,此事件源於喜達屋住客訂房資料庫遭犯罪攻擊,而且萬豪也積極配合ICO的調查。對於ICO的處份,萬豪將全力捍衛自己的立場。
此外,喜達屋遭駭的住客訂房資料已不再用於業務營運。該公司表示極為重視客戶資訊的隱私和安全性,將持續致力於滿足客戶的期望標準。
英國航空本周因去年9月的資料外洩事件遭英國主管機關重罰1.83億英鎊,創下GDPR上路以來ICO祭出最嚴厲的處份。
