一次数据泄露，四十 安全和数据监管 三万受害者，大量个人信息和信用卡数据被盗。这种情况甚至威胁到全球最大的航空公司之一、IAG 旗下的英国航空公司 (BA) 的停飞。但事情的全貌是怎样的呢？

2018 年，英国航空公司因犯罪分子获取了近 50 万客户的个人信息而登上头条新闻。在一个案例中，黑客将英国航空公司的客户引诱到一个虚假网站，并成功收集了他们的客户数据和个人信息。在调查此次入侵事件时，调查人员意识到之前也发生过一次入侵事件。

这些数据本应得到妥善保护，但却不知何故被漏网。所有人都一致认为，英航违反了欧盟的《通用数据保护条例》（GDPR）。

英航母公司 IAG 列出了 2018 年 4 月至 7 月期间受早期数据泄露影响的两类客户。七万七千人的姓名、地址和付款信息被泄露。另一类客户包括 10.8 万人，他们的个人信息被泄露，信用卡 CVV 号码（信用卡背面签名框右侧的三位或四位数字）也丢失了。

RiskIQ 捕获的攻击图片
RiskIQ捕获的攻击图片

ICO 2000 万英镑罚款的影响

英国信息 台湾数据  专员办公室 (ICO) 代表所有欧盟/欧洲经济区成员国开出的初始罚款刚刚超过 1.83 亿英镑。面对新冠疫情对公司的影响，英国航空公司仅需支付 2000 万英镑。BBC 的分析指出，ICO 的初始数据泄露罚款是 Facebook 因剑桥分析丑闻开出的 50 万英镑罚款的 367 倍。不过，据《每日邮报》报道，这仅占英国航空公司年营业额的 1.5%。

虽然许多人认为这只是轻微的惩罚，并表示英国航空公司已经摆脱了困境，但该公司已经建立了一个网站，能够积极处理客户索赔。多家律师事务所也在推销自己，称自己也能协助索赔。所有这些甚至还没有考虑到英国航空公司的品牌和企业形象受到的巨大打击。这仍然是数据监管机构有史以来最大的单笔罚款。

公司作为数据保管者

这起诉讼为何重 与同意管理提供商合作的好处 要？首先，这是英国法律史上规模最大的集体诉讼。这一结果可能会让英国航空相信他们已经无罪释放。但只有忽略超过 16,000 名受害者也在向该航空公司寻求赔偿这一事实，这种说法才会成立。根据接手此案的律师事务所 Pogust、Goodhead、Mousinho、Bianchini 和 Martins 的说法，每位索赔人可以提出 2,000 英镑的索赔。

在现代社会，数据是无价之宝，公司需要对代表客户处理的任何个人信息负责。PGMBM 的 Tom Goodhead 表示：“英国航空的乘客对所发生的事情感到失望。他们完全有权获得赔偿，因为这家曾经值得信赖的航空公司对他们的个人信息玩忽职守，让其容易被邪恶的黑客利用。”如果每个受害者都提出索赔，该公司将获得高达 8 亿英镑的赔偿。个人索赔人可能会获得数千英镑的赔偿。

网络攻击越来越普遍。典型的企业防御系统似乎建有 10 英尺高的墙，而坏人却有可伸缩的十英里长的梯子。信息很明确：组织必须带头保护个人数据，其系统甚至比处理数据时使用的系统更全面。

数据监管薄弱

如果英国航空的罚款是 中國新聞  我们听到的关于此事的最终结论，那么我们可以预料到，公司永远不会把数据安全作为优先事项。驱动因素可能是，英国航空案花了两年时间才得出这个结论。然后，还有 Covid-19——当今世界的常态——为任意低罚款提供了理由。

值得指出的是，GDPR 第 1 条的主要思想之一是数据是一项基本权利。它进一步明确了确保数据保护仍然是优先事项的责任，尽管数据交换不可避免地会增加。这也是强调该法规三个目标的最佳时机，即：

1. 本条例规定了有关自然人个人数据处理方面的保护规则以及有关个人数据自由流动的规则。

2. 本条例保护自然人的基本权利和自由，特别是其受个人数据保护的权利。

剖析法律术语

从 BA 的这一决定中可以得出几个结论。GDPR 第 77-82 条规定，欧盟公民和非营利组织在数据隐私受到侵犯时可以向法院提起诉讼。主要有两种机制：

1. 集体诉讼令(GLO)；2
. 代表诉讼

在 GLO 中，个人索赔人“选择加入”一个大型索赔池，并使用单一管理框架陈述他们的案件。

另一方面，代表诉讼要求首席原告代表其他个人，除非他们选择退出。这些不同的个人必须是同一伤害的受害者，并经历了同样的损失。