2019 年數(shù)據(jù)泄露事件相關(guān)巨額罰金，顯示出監(jiān)管機(jī)構(gòu)對未恰當(dāng)保護(hù)消費者數(shù)據(jù)的公司企業(yè)是越來越嚴(yán)厲了。

在英國，萬豪酒店集團(tuán)遭罰 1.24 億美元，英國航空公司被罰創(chuàng)紀(jì)錄的 2.3 億美元，而在美國，Equifax 同意支付至少13.8 億美元的消費者賠償金解決其 2017 年數(shù)據(jù)泄露事件。

而且，2018 年也不平靜。

2016 年數(shù)據(jù)泄露事件的糟糕應(yīng)對令 Uber 損失近 1.5 億美元。

防護(hù)薄弱而監(jiān)管嚴(yán)厲的醫(yī)療數(shù)據(jù)也令醫(yī)療機(jī)構(gòu) 2018 年損失慘重，美國衛(wèi)生及公眾服務(wù)部因而收到了越來越多的罰金。

Equifax 和 Facebook：各65 萬美元Equifax 和 Facebook 都可算是幸運。

2018 年，英國信息專員辦公室 (ICO) 依據(jù) GDPR 之前的《數(shù)據(jù)保護(hù)法案》，對兩家公司的數(shù)據(jù)保護(hù)不當(dāng)行為開出了該法案所支持的最高額罰款——50 萬英鎊 (65 萬美元)。

若是在 GDPR 生效后，該罰金就會高得多了。

Facebook 是在 10 月因劍橋分析公司數(shù)據(jù)丑聞而遭受制裁，Equifax 則是在 9 月為其 2017 年的數(shù)據(jù)泄露買單。

Cottage Health 和 Touchstone 醫(yī)療影像：各 300萬美元2019 年迄今的重大 HIPAA 違規(guī)處罰有兩起，Cottage Health 和 Touchstone 醫(yī)療影像各被處罰 300 萬美元。

Cottage Health 因 2013 年和 2015 年的兩次受保護(hù)電子醫(yī)療信息 (ePHI) 泄露而被罰，其泄露影響 6.25 萬人。

兩起事件中，存有 ePHI 的服務(wù)器均被黑客通過互聯(lián)網(wǎng)加以訪問。

位于田納西州的 Touchstone 醫(yī)療影像，則是因?qū)⒊?30 萬患者的受保護(hù)醫(yī)療信息 (PHI) 置于暴露在公網(wǎng)的 FTP 服務(wù)器上而被罰。

Touchstone 曾在 2014 年收到過 FBI 對該服務(wù)器暴露情況的通告，但堅稱自己沒有暴露任何患者的 PHI。

美國衛(wèi)生及公眾服務(wù)部 (HHS) 發(fā)現(xiàn)，Touchstone “直到 FBI 和民權(quán)辦公室都向其通報該泄露情況后數(shù)月，才開始認(rèn)真調(diào)查該安全事件”。

而且，HHS 稱，向受影響個人發(fā)出數(shù)據(jù)泄露通報的動作 “很不及時”，Touchstone “未能執(zhí)行對潛在風(fēng)險的準(zhǔn)確全面分析”，該公司 “與其供應(yīng)商之間未簽署商業(yè)伙伴協(xié)議 (BAA)”。

費森尤斯醫(yī)療北美：350萬美元又是 HIPAA 法案違規(guī)。

2018 年 2 月，費森尤斯醫(yī)療北美 (FMCNA) 遭遇 350 萬美元罰單，原因是 2012 年 2 月至 7 月間在不同公司地點發(fā)生五起數(shù)據(jù)泄露。

美國健康、教育與福利部所屬民權(quán)辦公室開展的調(diào)查發(fā)現(xiàn)，F(xiàn)MCNA “未能準(zhǔn)確而徹底地分析其不同實體所存全部醫(yī)療信息的保密性、完整性和可用性存在的潛在風(fēng)險與漏洞”。

其失誤包括：未防止設(shè)施設(shè)備未授權(quán)訪問、未加密醫(yī)療數(shù)據(jù)、未監(jiān)管存有醫(yī)療數(shù)據(jù)之電子媒介的卸載或移除動作，以及缺乏安全事件處置規(guī)程。

美國德州大學(xué) MD 安德森癌癥中心：430萬美元2018 年 6 月，一名法官支持判美國德州大學(xué) MD 安德森癌癥中心違反 HIPAA 法案，決意判罰該中心支付 430 萬美元罰金。

該癌癥中心在 2012 至 2013 年間遭遇三起數(shù)據(jù)泄露，造成超 3.35 萬人醫(yī)療信息泄露。

其中一起是因未加密筆記本電腦在某員工家中被盜。

其他兩起數(shù)據(jù)泄露則是未加密 U 盤失竊。

Anthem：1,600萬美元美國醫(yī)療保險公司 Anthem 在 2015 年遭遇數(shù)據(jù)泄露，7,900 萬人受影響。

被泄記錄包含姓名、生日、社會安全號和醫(yī)療 ID。

2018 年 10 月，美國衛(wèi)生及公眾服務(wù)部以 HIPAA 法案違規(guī)為由，對該公司處以 1,600 萬美元罰款。

除此之外，2017 年的集體訴訟也耗去該公司 1.15 億美元方達(dá)成和解。

塔吉特 (Target)：1,850萬美元2013 年感恩節(jié)后的黑色星期五銷售旺季期間，零售業(yè)巨頭塔吉特集團(tuán) 4,000 萬信用卡及借記卡賬戶信息遭泄露。

2017 年，塔吉特與美國 47 個州與哥倫比亞特區(qū)達(dá)成和解，用 1,850 萬美元換來撤訴。

后續(xù)調(diào)查發(fā)現(xiàn)，近 7,000 萬人的姓名、地址、電話號碼和電子郵件地址也被盜了。

與該數(shù)據(jù)泄露事件相關(guān)的總開支超過 2 億美元。

樂購銀行 (Tesco Bank)：2,100萬美元樂購銀行是英國樂購超市連鎖旗下的零售銀行，因 2016 年 9,000 個客戶賬戶共失竊近 300 萬美元，于 2018 年被英國金融市場行為監(jiān)管局 (FCA) 處以 1,640 萬英鎊（2,120 萬美元）罰款。

FCA 的處罰依據(jù)是樂購在借記卡設(shè)計、金融犯罪控制上存在 “缺陷”，其金融犯罪應(yīng)對團(tuán)隊也存在能力不足現(xiàn)象。

雅虎：8,500萬美元2013 年，雅虎遭遇了影響其整個數(shù)據(jù)庫的超大型安全事件，約 30 億賬戶信息被泄，幾乎涵蓋當(dāng)時所有 Web 用戶。

然而，該公司隱瞞此事達(dá)三年之久。

2018 年 4 月，美國證券交易委員會 (SEC) 以未披露數(shù)據(jù)泄露事件為由，罰取該公司 3,500 萬美元。

9 月，雅虎新老板 Altaba 承認(rèn)，以 5,000 萬美元達(dá)成和解協(xié)議，解決該數(shù)據(jù)泄露引發(fā)的集體訴訟。

30 億賬戶泄露耗費 8,500 萬美元解決，每條記錄 0.028 美元。

萬豪國際：1.24億美元GDPR 罰款跟公共汽車似的：等好長時間不來一輛，一來就來兩張。

英國航空公司遭遇史上最重罰金之后幾天，ICO 又對另一起數(shù)據(jù)泄露開出巨額罰單。

因多達(dá) 5 億客戶的支付信息、姓名、地址、電話號碼、電子郵件地址和護(hù)照號等信息被泄，萬豪國際被罰 9,900 萬英鎊 (1.24 億美元)。

該起數(shù)據(jù)泄露的根源在萬豪的喜達(dá)屋子公司：攻擊者在喜達(dá)屋網(wǎng)絡(luò)中駐留長達(dá) 4 年之久，其中 3 年是在萬豪于 2015 年收購了喜達(dá)屋之后。

ICO 的聲明顯示，萬豪 “在收購喜達(dá)屋時未能履行充分的盡職審查義務(wù)，系統(tǒng)防護(hù)工作也沒做到位。

” 萬豪首席運營官艾恩·索倫森 (Arne Sorenson) 對該處罰表示“失望”，并稱該公司計劃提起抗訴。

此外，土耳其數(shù)據(jù)保護(hù)機(jī)構(gòu)也對該連鎖酒店巨頭處以了 150 萬里拉 (26.5 萬美元) 的罰款——非 GDPR 處罰，顯示出同一起數(shù)據(jù)泄露可遭致全球多方處罰。

Uber：1.48億美元2016 年，打車應(yīng)用 Uber 遭黑客攻擊，60 萬司機(jī)和 5,700 萬用戶賬戶信息失竊。

Uber 沒有報告該事件，而是支付作惡者 10 萬美元封口費掩蓋事實。

但世上沒有不透風(fēng)的墻，數(shù)據(jù)泄露事件曝光后，Uber 被罰得更慘。

2018 年，Uber 因違反州數(shù)據(jù)泄露通告法律而被罰 1.48 億美元——當(dāng)時史上最高額的數(shù)據(jù)泄露罰款。

英國航空公司：2.3億美元盡管潛在罰金數(shù)額很是嚇人，歐盟《通用數(shù)據(jù)保護(hù)條例》 (GDPR) 生效后的一年之內(nèi)其實并未采取太多懲罰性措施。

歐洲大陸的數(shù)據(jù)保護(hù)公司因數(shù)據(jù)泄露而支付的罰金也就在幾萬到幾十萬歐元之間，通常都與之前的監(jiān)管規(guī)定所處罰金數(shù)額相當(dāng)。

眼看合規(guī)工作花費甚高而違規(guī)處罰似乎很輕，對 GDPR 可能實際上會雷聲大雨點小的擔(dān)憂一直在醞釀。

但英國航空公司被罰破紀(jì)錄的 1.83 億英鎊 (2.3 億美元) 后，這種擔(dān)憂一掃而空。

該罰金數(shù)額已超越 Uber 在 2018 年支付的 1.48 億美元，是截止當(dāng)時數(shù)額最高的數(shù)據(jù)泄露處罰。

對英國航空公司開出罰單的是英國數(shù)據(jù)保護(hù)機(jī)構(gòu)信息專員辦公室 (ICO)，原因是 Magecart 團(tuán)伙在長達(dá)兩周的時間里用銀行卡信息刮取腳本收獲了近 50 萬客戶的個人信息及支付數(shù)據(jù)。

ICO 表示，該公司糟糕的安全設(shè)置導(dǎo)致了數(shù)據(jù)泄露。

英國航空公司處罰案表明，GDPR 確實有其效力，而數(shù)據(jù)保護(hù)機(jī)構(gòu)也不吝于行使其權(quán)力。

鑒于 GDPR 是讓董事會更加重視安全的主要推進(jìn)力之一，CSO 和隱私/合規(guī)負(fù)責(zé)人也將擁有更大動力去進(jìn)一步強化自身安全項目。

Equifax：13.8億美元（至少）2017 年，因某個數(shù)據(jù)庫中存在 Apache Struts 框架未修復(fù)漏洞，Equifax 泄出近 1.5 億人的個人信息及財務(wù)數(shù)據(jù)。

該公司不僅在補丁發(fā)布幾個月后尚未修復(fù)此關(guān)鍵漏洞，且在發(fā)現(xiàn)數(shù)據(jù)泄露后數(shù)周都未公布此事。

2019 年 7 月 22 日，Equifax 宣布接受金額創(chuàng)紀(jì)錄的和解協(xié)議，了結(jié)了這樁導(dǎo)致 1.5 億人個人信息及財務(wù)記錄暴露的大規(guī)模數(shù)據(jù)泄露事件。

這家四面楚歌的信用評級機(jī)構(gòu)需支付至少 13.8 億美元的消費者索賠金。

受泄露事件影響的消費者可得到現(xiàn)金補償、信用監(jiān)視和身份恢復(fù)幫助，所需資金由該公司投注的 3.805 億非復(fù)歸基金支出。

協(xié)議還要求 Equifax 另外支付 1.25 億美元的現(xiàn)金賠償，且如果報名信用監(jiān)視的人數(shù)超過 700 萬，該公司需支付的數(shù)額還將大幅增加。

此外，Equifax 還需支付 1.75 億美元的罰款以平息州檢察官的調(diào)查，美國消費者金融保護(hù)局和聯(lián)邦貿(mào)易委員會 (FTC) 的調(diào)查也需 1 億美元平復(fù)。

最后，未來五年內(nèi)，Equifax 還必須拿出 10 億美元改善其數(shù)據(jù)安全。

而且，這還是在 Equifax 自事件發(fā)生后已在安全及技術(shù)方面投入 12.5 億美元的基礎(chǔ)上。