罚款金额的大幅下降突显了冠状病毒大流行对法规的影响。在某些情况下,为了更快地解决可能影响业务增长的问题,我们看到监管机构试图加快响应速度,甚至放弃了之前对绿灯活动的一些保留意见,比如电动滑板车。
但在英航罚款的案例中,我们看到了新冠肺炎影响的另一面:监管机构对已经在苦苦挣扎的公司采取了不那么严厉的处罚。这引发了一些问题,即他们的决定有多大的影响力,以及他们为未来的安全和数据保护忽视开创了什么样的先例。
信息专员伊丽莎白·德纳姆(Elizabeth Denham)在一份声明中表示:“人们将个人信息委托给英国航空公司,而英国航空公司没有采取足够的措施来保护这些细节的安全。”“他们没有采取行动是不可接受的,影响了数十万人,这可能因此造成了一些焦虑和痛苦。这就是为什么我们向英国航空公司开出了2000万GB的罚单-这是我们迄今为止最大的一笔罚款。当组织机构围绕人们的个人数据做出糟糕的决定时,这可能会对人们的生活产生真正的影响。这项法律现在为我们提供了鼓励企业对数据做出更好决定的工具,包括投资于最新的安全措施。“。
这是ICO有史以来开出的最高罚单。但与监管机构去年最初设定的1.84亿英镑的罚款-占英航2018年营收的1.5%-相比,这是一个重大的进步。当然,那是在冠状病毒大流行来袭之前,导致全球旅行停止,许多航空公司陷入困境。最初的订单经过了上诉程序,其中包括对该公司在当前市场的状况进行评估。
ICO在其关于降低罚款的声明中指出:“2019年6月,ICO向英航发出了罚款意向通知。”“作为监管过程的一部分,ICO在设定最终处罚之前,既考虑了英航的陈述,也考虑了新冠肺炎对其业务的经济影响。”
调查结果的突出事实保持不变:ICO认定英航存在“安全漏洞”,这些漏洞本可以通过当时可用的安全系统(程序和软件)来防止。
ICO表示,因此,来自429,612名客户和员工的数据被泄露,包括“24.4万名英国航空公司客户的姓名、地址、支付卡号码和CVV号码”,并补充说,77000名客户的信用卡和CVV号码以及仅有10.8万名客户的卡号也被认为是此次泄露的一部分,此外还有英国航空公司员工和管理员账户的用户名和密码,以及多达612名英国航空公司高管俱乐部账户的用户名和个人识别码(似乎最后两个账户也没有完全核实)。
最重要的是,英航从未检测到攻击,该公司表示:它收到了第三方的入侵通知。
ICO表示,其行动已得到欧盟其他DPA的批准:这是因为袭击发生时英国仍在欧盟,因此ICO代表欧盟当局进行了调查。