欧盟《通用数据保护条例》（GDPR）生效以来最大的数据违规处罚案近日尘埃落定，最终处罚金额由1.83亿英镑降到2000万英镑。

当地时间10月16日，英国数据保护监管机构信息专员办公室（Information Commissioner’s Office, ICO）发布公告，对英国航空（British Airways）42万用户信息泄露一事最终开出2000万英镑（约1.7亿人民币）的罚款。

2019年7月，ICO最初提议罚款英航1.83亿英镑，约占英航2018年收入的1.5%。考虑英航所做出的陈述以及新冠疫情造成的经济影响，ICO大幅调低了罚款。

2018年9月，英航通报了一起网络事件，称从6月开始，其官网上的用户流量被劫持到了一个欺诈网站。该事件涉及超过42万名客户与员工，被泄露的数据包括姓名、地址、银行卡号、CVV码（安全码）等。ICO调查发现，英航脆弱的安全防护措施是造成这起信息泄露的重要原因。

ICO表示，在2018年6月22日事件发生之时，英航对此并不知情，而是在两个月之后被第三方通知的。随即，英航将此事上报给ICO。

2019年7月，在ICO初次宣布调查结果和罚款金额之后，英航主席兼首席执行官艾利克斯·科鲁兹（Alex Cruz）公开表示，公司对于ICO的决定感到“惊讶和失望”。他认为，英航在本次盗窃用户数据的犯罪行为中反应迅速，目前尚未发现证据表明任何受影响账户存在欺诈活动。

ICO则认为，英航本可以采取访问控制、事件演习、多重认证等诸多成本并不高昂的方式，减少数据泄露事件的影响甚至防止其发生。 

当时，在ICO下达最终决定之前, 英航仍可上诉，对罚款金额提出异议。英航母公司IAG首席执行官曾发声明表示，“我们打算采取一切适当措施，积极捍卫航空公司的地位，包括提出任何必要的上诉”。

在近日最新的公告中，ICO表示，鉴于英航（与其他航空公司一样）因新冠疫情而面临的经济影响，以及英航为解决这一问题所做的工作，以及ICO在进一步调查中了解了数据泄露事件的性质，因此降低了罚款。

虽然减少了处罚规模，ICO仍坚持其最初的结论。信息专员伊丽莎白·丹巴（Elizabeth Denham）在声明中说，消费者把个人数据授权给英航，而英航没有采取足够的安全措施保护他们的个人数据。

她表示，“他们不采取行动是不可接受的，影响了数十万人，因此造成了一些焦虑和痛苦。这就是为什么我们给英航开出了2000万英镑的罚款——这是我们迄今为止最大的一笔罚款。”

南都记者梳理发现，截至目前，2019年ICO向英航开出的1.83亿英镑罚款仍是GDPR生效以来的最高金额罚单。虽然目前英国已经脱欧，但在事件发生之时，ICO仍基于GDPR的规定进行调查和处罚，并得到了欧盟其他DPA的同意。

此外，因2019年ICO对万豪酒店集团开出的9920万英镑罚款暂未最终确认，此次英航的最终罚款也是ICO实际做出的最高额处罚。

据外媒报道，英航的一位发言人表示，“我们很高兴ICO认识到，自攻击事件以来，我们在系统的安全性方面做了相当大的改进，而且也全力配合调查。”对此，ICO也在公告中表示了认可。

该发言人提到，据他们所知，由于ICO将黑客攻击事件与此案分开，减少了对英航的指责，因此减去了1.5亿英镑罚款。另外，再基于英航的回应，减去了600万英镑，再加上作为ICO抗疫政策的一部分，又减去了400万英镑。

对此，有外媒评论称，这一举措突显了新冠疫情对监管的影响。就英航的罚款而言，在相关公司已经陷入困境的情况下，监管机构选择在财务处罚方面采取不那么强硬的态度。

编译/综合：南都记者 李慧琪

编辑：蒋琳