2019 年數據泄露事件相關巨額罰金，顯示出監(jiān)管機構對未恰當保護消費者數據的公司企業(yè)是越來越嚴厲了。在英國，萬豪酒店集團遭罰 1.24 億美元，英國航空公司被罰創(chuàng)紀錄的 2.3 億美元，而在美國，Equifax 同意支付至少13.8 億美元的消費者賠償金解決其 2017 年數據泄露事件。

[[273315]]

而且，2018 年也不平靜。2016 年數據泄露事件的糟糕應對令 Uber 損失近 1.5 億美元。防護薄弱而監(jiān)管嚴厲的醫(yī)療數據也令醫(yī)療機構 2018 年損失慘重，美國衛(wèi)生及公眾服務部因而收到了越來越多的罰金。

Equifax 和 Facebook：各65 萬美元

Equifax 和 Facebook 都可算是幸運。2018 年，英國信息專員辦公室 (ICO) 依據 GDPR 之前的《數據保護法案》，對兩家公司的數據保護不當行為開出了該法案所支持的最高額罰款——50 萬英鎊 (65 萬美元)。若是在 GDPR 生效后，該罰金就會高得多了。Facebook 是在 10 月因劍橋分析公司數據丑聞而遭受制裁，Equifax 則是在 9 月為其 2017 年的數據泄露買單。

Cottage Health 和 Touchstone 醫(yī)療影像：各 300萬美元

2019 年迄今的重大 HIPAA 違規(guī)處罰有兩起，Cottage Health 和 Touchstone 醫(yī)療影像各被處罰 300 萬美元。

Cottage Health 因 2013 年和 2015 年的兩次受保護電子醫(yī)療信息 (ePHI) 泄露而被罰，其泄露影響 6.25 萬人。兩起事件中，存有 ePHI 的服務器均被黑客通過互聯網加以訪問。

位于田納西州的 Touchstone 醫(yī)療影像，則是因將超 30 萬患者的受保護醫(yī)療信息 (PHI) 置于暴露在公網的 FTP 服務器上而被罰。Touchstone 曾在 2014 年收到過 FBI 對該服務器暴露情況的通告，但堅稱自己沒有暴露任何患者的 PHI。

美國衛(wèi)生及公眾服務部 (HHS) 發(fā)現，Touchstone “直到 FBI 和民權辦公室都向其通報該泄露情況后數月，才開始認真調查該安全事件”。而且，HHS 稱，向受影響個人發(fā)出數據泄露通報的動作 “很不及時”，Touchstone “未能執(zhí)行對潛在風險的準確全面分析”，該公司 “與其供應商之間未簽署商業(yè)伙伴協議 (BAA)”。

費森尤斯醫(yī)療北美：350萬美元

又是 HIPAA 法案違規(guī)。2018 年 2 月，費森尤斯醫(yī)療北美 (FMCNA) 遭遇 350 萬美元罰單，原因是 2012 年 2 月至 7 月間在不同公司地點發(fā)生五起數據泄露。美國健康、教育與福利部所屬民權辦公室開展的調查發(fā)現，FMCNA “未能準確而徹底地分析其不同實體所存全部醫(yī)療信息的保密性、完整性和可用性存在的潛在風險與漏洞”。

其失誤包括：未防止設施設備未授權訪問、未加密醫(yī)療數據、未監(jiān)管存有醫(yī)療數據之電子媒介的卸載或移除動作，以及缺乏安全事件處置規(guī)程。

美國德州大學 MD 安德森癌癥中心：430萬美元

2018 年 6 月，一名法官支持判美國德州大學 MD 安德森癌癥中心違反 HIPAA 法案，決意判罰該中心支付 430 萬美元罰金。該癌癥中心在 2012 至 2013 年間遭遇三起數據泄露，造成超 3.35 萬人醫(yī)療信息泄露。其中一起是因未加密筆記本電腦在某員工家中被盜。其他兩起數據泄露則是未加密 U 盤失竊。

Anthem：1,600萬美元

美國醫(yī)療保險公司 Anthem 在 2015 年遭遇數據泄露，7,900 萬人受影響。被泄記錄包含姓名、生日、社會安全號和醫(yī)療 ID。2018 年 10 月，美國衛(wèi)生及公眾服務部以 HIPAA 法案違規(guī)為由，對該公司處以 1,600 萬美元罰款。除此之外，2017 年的集體訴訟也耗去該公司 1.15 億美元方達成和解。

塔吉特 (Target)：1,850萬美元

2013 年感恩節(jié)后的黑色星期五銷售旺季期間，零售業(yè)巨頭塔吉特集團 4,000 萬信用卡及借記卡賬戶信息遭泄露。2017 年，塔吉特與美國 47 個州與哥倫比亞特區(qū)達成和解，用 1,850 萬美元換來撤訴。后續(xù)調查發(fā)現，近 7,000 萬人的姓名、地址、電話號碼和電子郵件地址也被盜了。與該數據泄露事件相關的總開支超過 2 億美元。

樂購銀行 (Tesco Bank)：2,100萬美元

樂購銀行是英國樂購超市連鎖旗下的零售銀行，因 2016 年 9,000 個客戶賬戶共失竊近 300 萬美元，于 2018 年被英國金融市場行為監(jiān)管局 (FCA) 處以 1,640 萬英鎊(2,120 萬美元)罰款。FCA 的處罰依據是樂購在借記卡設計、金融犯罪控制上存在 “缺陷”，其金融犯罪應對團隊也存在能力不足現象。

雅虎：8,500萬美元

2013 年，雅虎遭遇了影響其整個數據庫的超大型安全事件，約 30 億賬戶信息被泄，幾乎涵蓋當時所有 Web 用戶。然而，該公司隱瞞此事達三年之久。

2018 年 4 月，美國證券交易委員會 (SEC) 以未披露數據泄露事件為由，罰取該公司 3,500 萬美元。9 月，雅虎新老板 Altaba 承認，以 5,000 萬美元達成和解協議，解決該數據泄露引發(fā)的集體訴訟。

30 億賬戶泄露耗費 8,500 萬美元解決，每條記錄 0.028 美元。

萬豪國際：1.24億美元

GDPR 罰款跟公共汽車似的：等好長時間不來一輛，一來就來兩張。英國航空公司遭遇史上最重罰金之后幾天，ICO 又對另一起數據泄露開出巨額罰單。

因多達 5 億客戶的支付信息、姓名、地址、電話號碼、電子郵件地址和護照號等信息被泄，萬豪國際被罰 9,900 萬英鎊 (1.24 億美元)。該起數據泄露的根源在萬豪的喜達屋子公司：攻擊者在喜達屋網絡中駐留長達 4 年之久，其中 3 年是在萬豪于 2015 年收購了喜達屋之后。

ICO 的聲明顯示，萬豪 “在收購喜達屋時未能履行充分的盡職審查義務，系統防護工作也沒做到位。” 萬豪首席運營官艾恩·索倫森 (Arne Sorenson) 對該處罰表示“失望”，并稱該公司計劃提起抗訴。

此外，土耳其數據保護機構也對該連鎖酒店巨頭處以了 150 萬里拉 (26.5 萬美元) 的罰款——非 GDPR 處罰，顯示出同一起數據泄露可遭致全球多方處罰。

Uber：1.48億美元

2016 年，打車應用 Uber 遭黑客攻擊，60 萬司機和 5,700 萬用戶賬戶信息失竊。Uber 沒有報告該事件，而是支付作惡者 10 萬美元封口費掩蓋事實。但世上沒有不透風的墻，數據泄露事件曝光后，Uber 被罰得更慘。2018 年，Uber 因違反州數據泄露通告法律而被罰 1.48 億美元——當時史上最高額的數據泄露罰款。

英國航空公司：2.3億美元

盡管潛在罰金數額很是嚇人，歐盟《通用數據保護條例》 (GDPR) 生效后的一年之內其實并未采取太多懲罰性措施。歐洲大陸的數據保護公司因數據泄露而支付的罰金也就在幾萬到幾十萬歐元之間，通常都與之前的監(jiān)管規(guī)定所處罰金數額相當。眼看合規(guī)工作花費甚高而違規(guī)處罰似乎很輕，對 GDPR 可能實際上會雷聲大雨點小的擔憂一直在醞釀。

但英國航空公司被罰破紀錄的 1.83 億英鎊 (2.3 億美元) 后，這種擔憂一掃而空。該罰金數額已超越 Uber 在 2018 年支付的 1.48 億美元，是截止當時數額最高的數據泄露處罰。對英國航空公司開出罰單的是英國數據保護機構信息專員辦公室 (ICO)，原因是 Magecart 團伙在長達兩周的時間里用銀行卡信息刮取腳本收獲了近 50 萬客戶的個人信息及支付數據。

ICO 表示，該公司糟糕的安全設置導致了數據泄露。英國航空公司處罰案表明，GDPR 確實有其效力，而數據保護機構也不吝于行使其權力。鑒于 GDPR 是讓董事會更加重視安全的主要推進力之一，CSO 和隱私/合規(guī)負責人也將擁有更大動力去進一步強化自身安全項目。

Equifax：13.8億美元(至少)

2017 年，因某個數據庫中存在 Apache Struts 框架未修復漏洞，Equifax 泄出近 1.5 億人的個人信息及財務數據。該公司不僅在補丁發(fā)布幾個月后尚未修復此關鍵漏洞，且在發(fā)現數據泄露后數周都未公布此事。

2019 年 7 月 22 日，Equifax 宣布接受金額創(chuàng)紀錄的和解協議，了結了這樁導致 1.5 億人個人信息及財務記錄暴露的大規(guī)模數據泄露事件。這家四面楚歌的信用評級機構需支付至少 13.8 億美元的消費者索賠金。受泄露事件影響的消費者可得到現金補償、信用監(jiān)視和身份恢復幫助，所需資金由該公司投注的 3.805 億非復歸基金支出。

協議還要求 Equifax 另外支付 1.25 億美元的現金賠償，且如果報名信用監(jiān)視的人數超過 700 萬，該公司需支付的數額還將大幅增加。此外，Equifax 還需支付 1.75 億美元的罰款以平息州檢察官的調查，美國消費者金融保護局和聯邦貿易委員會 (FTC) 的調查也需 1 億美元平復。

最后，未來五年內，Equifax 還必須拿出 10 億美元改善其數據安全。而且，這還是在 Equifax 自事件發(fā)生后已在安全及技術方面投入 12.5 億美元的基礎上。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文