歷數全球重大數據泄露處罰案例：罰金從百萬到億級美元不等

因安全措施不當、掩蓋真相或無心之失而導致的黑客入侵及數據盜竊事件，令涉事企業和機構損失共計近12億美元之多，且這一數字還在繼續增長。

2019年數據泄露事件相關巨額罰金，顯示出監管機構對未恰當保護消費者數據的企業和機構是越來越嚴厲了。萬豪集團因萬豪酒店數據泄露事件遭罰1.24億美元，而信用評級公司Equifax同意支付至少5.75億美元解決其2017年數據泄露事件。

而且，2018年也不平靜。2016年數據泄露事件的糟糕應對令Uber損失近1.5億美元。缺乏防護卻監管嚴格的醫療數據也令醫療機構在2018年損失慘重，美國衛生及公眾服務部因而收到了越來越多的罰金。

Equifax：5.75億美元（至少）

2017年，因某個數據庫中存在Apache Struts框架未修復漏洞，Equifax泄出近1.5億人的個人信息及財務數據。該公司不僅在補丁發布幾個月后尚未修復此關鍵漏洞，且在發現數據泄露后數周都未公布此事。

2019年7月，這家信用評級機構同意支付5.75億美元（可能升至7億美元），就“未能采取合理措施保護自身網絡”的過錯，與美國聯邦貿易委員會（FTC）、消費者金融保護局（CFPB）， 以及全美50個州及地區達成和解。

其中3億美元將流入基金，用來支持受影響消費者的信用監視服務費用（如果首筆付款不足以補償消費者，還將另加1.25億美元）；1.75億美元支付給美國48個州、美屬哥倫比亞及波多黎各地區；剩下1億美元交付CFPB。該和解協議還要求Equifax每兩年對其信息安全項目進行一次第三方評估。

FTC主席喬·西蒙斯（Joe Simons）稱：“以個人信息盈利的公司企業有額外的責任保護這些數據。原本只要采取基本的保護措施就能防止這1.47億消費者遭遇數據泄露，Equifax卻連這基本的防護都沒做到。”

Equifax此前已因2017年數據泄露事件在英國遭罰50萬英鎊（約合62.5萬美元），這是GDPR生效前根據《數據保護法案 1998 》所能做出的最高罰款。

Uber：1.48億美元

2016年，打車應用Uber遭黑客攻擊，60萬司機和5,700萬用戶賬戶信息失竊。Uber沒有報告該事件，而是支付作惡者10萬美元封口費來掩蓋事實。但世上沒有不透風的墻，數據泄露事件曝光后，Uber被罰得更慘。2018年，Uber因違反州數據泄露通告法律而被罰1.48億美元——當時史上最高額的數據泄露罰款。

萬豪國際：1.24億美元

GDPR罰款跟公共汽車似的：好長時間等不來一輛，一來就兩輛連發。英國航空公司遭遇史上最重罰金之后幾天，信息專員辦公室（ICO）又對另一起數據泄露開出巨額罰單。

因多達5億客戶的支付信息、姓名、地址、電話號碼、電子郵件地址和護照號等信息被泄，萬豪國際被罰9,900萬英鎊（約合1.24億美元）。該起數據泄露的根源在萬豪的喜達屋子公司：攻擊者在喜達屋網絡中駐留長達4年之久，其中3年是在萬豪于2015年收購了喜達屋之后。

ICO的聲明顯示，萬豪“在收購喜達屋時未能履行充分的盡職審查義務，系統防護工作也沒做到位。”萬豪首席運營官艾恩·索倫森（Arne Sorenson）對該處罰表示“失望”，并稱該公司計劃提起抗訴。

此外，土耳其數據保護機構也對該連鎖酒店巨頭處以了150萬里拉（約合26.5萬美元）的罰款（并非GDPR處罰），顯示出同一起數據泄露可遭致全球多方處罰。

雅虎：8500萬美元

2013年，雅虎遭遇了影響其整個數據庫的超大型安全事件，約30億賬戶信息被泄，幾乎涵蓋當時所有Web用戶。然而，該公司隱瞞此事達三年之久。

2018年4月，美國證券交易委員會（SEC）以未披露數據泄露事件為由，罰取該公司3,500萬美元。9月，雅虎新老板Altaba承認，雅虎以5,000萬美元達成和解協議，解決該數據泄露引發的集體訴訟。

30億賬戶泄露耗費8,500萬美元解決，每條記錄0.028美元。

Capital One：8000萬美元

2019年，Captial One銀行遭受數據泄露，影響1億美國人和600萬加拿大人。該公司宣稱，一名“外部人士”（后來確認是前亞馬遜網絡服務軟件工程師佩吉·湯普森（Paige Thompson））通過公司網絡應用防火墻（WAF）中的配置漏洞獲取了Capital One信用卡客戶和信用卡產品申請人的個人信息。

被盜信息包括姓名、地址、郵政編碼、電話號碼、電子郵件地址、出生日期、自行報告的收入，以及信用評分、信用額度、余額、付款歷史記錄、聯系信息、交易數據片段、一些社會安全號和銀行帳號。

因為“在將運營遷移到公有云環境時，未能建立有效的風險評估流程”，以及“未能及時糾正疏漏”，美國通貨監理署對Capital One處以8000萬美元罰款。

摩根士丹利：6000萬美元

盡管沒有發生數據泄露，沒能執行穩健的硬件報廢流程還是讓摩根士丹利因未能達到監管機構的預期而遭遇了處罰。2020年10月，美國通貨監理署（OCC）對該銀行處以6000萬美元罰款，理由是該銀行未能在2016年恰當報廢硬件，而這些硬件中含有該行兩個美國數據中心的財富管理數據。

據OCC透露，該銀行“未能對數據中心的硬件報廢過程進行適當監督”。列出的問題包括未能有效評估或解決與硬件報廢相關的風險、缺乏有關使用第三方供應商或監控供應商績效的風險評估和盡職調查，以及未能恰當掌握設備上存儲有哪些客戶數據。

OCC表示，該行在2019年就在大范圍應用服務設備的報廢方面遭遇了類似的供應商管理控制缺陷，但承認摩根士丹利自此已進行糾正動作，并“承諾”采取必要和恰當的措施糾正這些缺陷。

雖然摩根士丹利已發表聲明，表示不認為客戶信息因其此前的做法而遭到非法訪問或濫用，但因為監管失策，該公司仍然面臨著500萬美元的數據泄露訴訟。

英國航空公司：2620萬美元

盡管潛在罰金數額很是嚇人，歐盟《通用數據保護條例》（GDPR）生效后的一年之內其實并未罰得太狠。歐洲大陸的數據保護公司因數據泄露而支付的罰金也就在幾萬到幾十萬歐元之間，通常都與之前的監管規定所處罰金數額相當。但英國航空公司被罰破紀錄的1.83億英鎊（約合2.3億美元）之后，這種情況迅速轉變。對英國航空公司開出罰單的是英國數據保護機構信息專員辦公室（ICO），原因是Magecart團伙在長達兩周的時間里用銀行卡信息刮取腳本收獲了近50萬客戶的個人信息及支付數據。

ICO表示，“該公司糟糕的安全設置”導致了數據泄露。英國航空公司處罰案表明，GDPR確實有其效力，而數據保護機構也不吝于行使其權力。鑒于GDPR是讓董事會更加重視安全的主要推進力之一，首席安全官（CSO）和隱私/合規負責人也將擁有更大動力去進一步強化自身安全項目。

不過，英國航空公司最終支付的數字已大幅減少。經過幾個月的拖延和談判，ICO將罰款降低到2000萬英鎊，罪名是“未能保護其40多萬客戶的個人信息和財務詳細信息”。

盡管最終數字低于原先提出的罰金數額，但這仍是ICO有史以來開出的最大罰單，突顯了安全措施糟糕的危險。若是遵從英國先前的《數據保護》條例，能夠開出的最大罰單是50萬英鎊。

在英國航空公司最終處罰的通知和其他新冠肺炎疫情指南中，ICO表示，在考慮開出罰單時會考慮“經濟影響和負擔能力”。這就解釋了為什么這家陷入困境的航空公司能夠獲得這么大的“罰金折扣”。然而，該航空公司今后仍可能面臨巨額集體訴訟賠償要求。

萬豪國際曾表示，期待ICO開出的9900萬英鎊巨額罰款也打個五折，但聲明發表以后這家連鎖酒店集團又遭遇了一次數據泄露。

樂購銀行 (Tesco Bank)：2100萬美元

樂購銀行是英國樂購超市連鎖旗下的零售銀行，因2016年9000個客戶賬戶共失竊近300萬美元，于2018年被英國金融市場行為監管局（FCA）處以1640萬英鎊（約合2120萬美元）罰款。FCA的處罰依據是樂購在借記卡設計、金融犯罪控制上存在“缺陷”，其金融犯罪應對團隊也存在能力不足現象。

塔吉特 (Target)：1850 萬美元

2013年感恩節后的黑色星期五銷售旺季期間，零售業巨頭塔吉特集團4000萬信用卡及借記卡賬戶信息遭泄露。2017年，塔吉特與美國47個州和哥倫比亞特區達成和解，用1850萬美元換來撤訴。后續調查發現，近7000萬人的姓名、地址、電話號碼和電子郵件地址也被盜了。與該數據泄露事件相關的總開支超過2億美元。

Anthem：1600萬美元

醫療保險公司Anthem在2015年遭遇數據泄露，7900萬人受影響。被泄記錄包含姓名、生日、社會安全號和醫療ID。2018年10月，美國衛生及公眾服務部以HIPAA法案違規為由，對Anthem處以1600萬美元罰款。除此之外，2017年的集體訴訟也耗去該公司1.15億美元方達成和解。

2020年，該公司同意再向部分州支付3950萬美元，用以和解數據保護不力所遭到的訴訟，但拒絕為此事件承擔責任。該公司在一份聲明中稱：“Anthem不認為在數據安全方面違反了法律，并且不承認在與州總檢察長達成的和解協議中有任何此類違法行為。”

1&1 Telecom：1060萬美元

開出GDPR罰單的不僅僅有英國的信息專員辦公室（ICO）。因未采取“足夠的技術和管理措施”防止未經授權的人員利用客戶服務部門訪問客戶數據，德國網絡托管公司1&1被德國數據保護與信息自由聯邦專員辦公室（BfDI）罰款955萬歐元（約合1060萬美元）。該公司身份驗證過程形同虛設，撥打客服電話的人只需提供姓名和生日，就可以獲取其他顧客的信息。

非數據泄露相關原因的其他GDPR高額處罰還包括：奧地利郵政服務因數據主體政治傾向處理問題而遭罰款1800萬歐元，德國房地產公司Deutsche Wohnen因超期保留客戶數據而被罰款1450萬歐元。

谷歌：750萬美元

2020年，為和解兩起針對Google+安全漏洞的集體訴訟，谷歌同意支付750萬美元。這種類型的罰款多為事涉壟斷和反壟斷。在2018年10月Google+ API曝出可致開發人員能夠訪問私有數據的漏洞后，這家搜索巨頭最初宣布計劃關閉Google+社交網絡。盡管谷歌聲稱沒有證據表明該漏洞已被利用，但也承認有超過400個應用使用此API，可能影響500,000個帳戶。

兩個月后，谷歌曝出第二起涉Google+事件，并比原先宣布的時間提前四個月關閉Google+，原因是另一個API問題可致開發人員能夠訪問5250萬用戶的私有個人資料信息。（該公司再次表示，不認為此漏洞有任何被利用的跡象。）

2018年時針對Google+漏洞問題提起了兩起集體訴訟，但后來合并為一宗。2020年1月此案達成和解協議：2015年1月至2019年4月2日期間持Google+賬戶而遭信息暴露的所有用戶，每人可收到5至12美元之間的賠款。

Premera Blue Cross：685萬美元

盡管安全事件層出不窮，在懲罰性罰款方面2020年可謂平靜。但在9月，因違反HIPAA法案，總部位于華盛頓的醫療保險公司Premera Blue Cross被罰款685萬美元。

在發現該公司發生影響1040萬人的數據泄露事件后，美國衛生與公眾服務部（HHS）公民權利辦公室（OCR）對Premera處以罰款。Premera Blue Cross公司是在2015年3月，網絡攻擊者已經未授權訪問了其系統后提交的數據泄露報告。2014年就開始的網絡釣魚攻擊在近9個月時間里一直未被發現，導致超過1040萬人的受保護健康信息被泄，包括姓名、地址、出生日期、電子郵件地址、社會安全號、銀行賬戶信息和健康計劃臨床信息。

OCR的調查發現該公司“系統性違反” HIPAA法案要求，包括未進行風險分析、未實施風險管理，或未實施審計控制。這些安全敗筆讓OCR錄得迄今為止的第二大HIPAA罰款。

美國得克薩斯大學MD安德森癌癥中心：430萬美元

2018年6月，一名法官堅持判美國得克薩斯大學MD安德森癌癥中心違反HIPAA法案，決意判罰該中心支付430萬美元罰金。該癌癥中心在2012至2013年間遭遇三起數據泄露，造成超3.35萬人醫療信息泄露。其中一起是因未加密的筆記本電腦在某員工家中被盜。其他兩起數據泄露則是未加密U盤失竊。

費森尤斯醫療北美：350萬美元

又是HIPAA法案違規。2018年2月，費森尤斯醫療北美（FMCNA）遭遇350萬美元罰單，原因是2012年2月至7月間在公司多個地點發生五起數據泄露。美國健康、教育與福利部所屬民權辦公室開展的調查發現，FMCNA“未能準確而徹底地分析其不同實體所存全部醫療信息的保密性、完整性和可用性存在的潛在風險與漏洞”。

其失誤包括：未防止設施設備未授權訪問、未加密醫療數據、未監管存有醫療數據之電子媒介的卸載或移除動作，以及缺乏安全事件處置規程。

Cottage Health,、Touchstone醫學影像和羅切斯特大學醫學中心（URMC）：每家300萬美元

2019年見證了三起重大HIPAA違規處罰，Cottage Health和Touchstone醫學影像各300萬美元。

Cottage Health因2013年和2015年的兩次受保護電子醫療信息（ePHI）泄露而被罰，其泄露影響6.25萬人。兩起事件中，存有受保護電子醫療信息的服務器均被黑客通過互聯網加以訪問。

位于田納西州的Touchstone醫學影像，則是因將超30萬患者的受保護醫療信息（PHI）置于暴露在公網的FTP服務器上而被罰。Touchstone曾在2014年收到過FBI對該服務器暴露情況的通告，但堅稱自己沒有暴露任何患者的PHI。

美國衛生及公眾服務部（HHS）發現，Touchstone“直到FBI和民權辦公室都向其通報該泄露情況后數月，才開始認真調查該安全事件”。而且，HHS稱，Touchstone向受影響個人發出數據泄露通報的動作“很不及時”，“未能執行對潛在風險的準確全面分析”，該公司“與其供應商之間未簽署業務伙伴協議（BAA）”。

2019年11月，羅切斯特大學醫學中心（URMC）也因未加密移動設備而遭罰款300萬美元。該中心包含醫學醫學與牙科學校和思創紀念醫院，在2013年遺失了一塊未加密閃盤，2017年遺失了一臺未加密筆記本電腦。盡管之前已于2010年報告過因未加密硬盤導致的數據泄露，URMC還是因未恰當保護個人醫療信息而遭到處罰。

杰克遜衛生系統（Jackson Health System）：215萬美元

又一起HIPAA違規案，這次是在佛羅里達州運營著數家醫院和護理中心的邁阿密非營利性學術醫療系統Jackson Health System（JHS）。JHS在2013至2016年間被DHS就一系列事件罰款215萬美元。

盡管在2013年向DHS報告了756位患者紙質醫療記錄遺失事件，但內部調查后發現，JHS漏報了另外三箱病歷遺失一事。2015年，JHS發現兩名雇員出于與工作無關的目的訪問了一名患者的電子醫療記錄。2016年，在發現一名雇員自2011年起共售賣2.4萬名患者醫療記錄后，JHS報告了這一數據泄露事件。

四家英國公司堪稱僥幸

2018年，英國信息專員辦公室（ICO）依據GDPR生效之前的《數據保護法案》，對兩家公司的數據保護不當行為開出了該法案所支持的最高額罰款：50萬英鎊（約合65萬美元）。若是在GDPR生效之后，處罰金額就會高得多了。Facebook是在10月因劍橋分析公司數據丑聞而遭受制裁，Equifax則是在9月為其2017年的數據泄露買單。

2020年初，也就是GDPR生效近兩年之后，監管機構遵從舊《數據保護法案》（DPA）又處罰了兩家公司。因旗下Currys電腦世界和Dixons旅游門店的5000多臺機器上檢出銷售終端惡意軟件，英國零售商DSG零售有限公司遭到處罰。然而，由于攻擊始于2017年7月，早于GDPR生效時間，盡管攻擊者在2018年5月新規實施之后仍在收集信息，該公司卻是按照舊法案處以最高50萬英鎊的罰款。

此案例中，攻擊者未授權獲取了560萬支付卡詳細信息和約1400萬人的個人信息，包括全名、郵政編碼、電子郵件地址和內部服務器信用檢查失敗信息。英國信息專員辦公室（ICO）宣稱，該公司“安全安排薄弱”，未能采取足夠的措施保護個人數據，包括未及時修復漏洞、缺乏本地防火墻、缺少網絡分隔，以及未安排定期安全測試。ICO之前就在2018年1月因同樣的安全問題處罰了DSG旗下的Carphone Warehouse，罰金40萬歐元（約合52萬美元）。

2020年3月，中國國泰航空公司因“未能保護客戶個人數據安全”而被處以DPA最高罰金。ICO判定，國泰航空的系統在2014年10月至2018年5月期間缺乏“恰當的安全措施”，造成客戶個人信息暴露。