3月4日，英国资讯专员办公室（ICO）发布公告称，因国泰航空未能有效保护客户个人信息安全，导致全球约 940 万客户的个人详细信息泄露，所以对国泰航空罚款 50 万英镑（约 451 万人民币）。据悉，这个罚款金额可能是英国法律指定的最高罚款金额。

事件回溯

据 ICO 称，2014 年 10 月到 2018 年 5 月期间，国泰航空的系统因缺乏安全措施，导致全球约 940 万客户个人信息泄露，其中 111578 人来自英国。泄露的个人信息包括姓名、护照资料、出生日期、电话号码、地址及旅行记录。

2018 年 3 月，国泰航空发现系统出现数据泄露迹象，当时数据库遭到了暴力攻击，短时内提交了大量的密码和短语。2018 年 5 月，国泰航空确认有客户资料外泄，并向香港警方和 ICO 报告了这一事件，其中约 86 万个护照号码及 24.5 万个香港身份证号码曾被不当取阅，403 张已逾期信用卡号码和 27 张无安全码的信用卡号码被不当取阅。2018 年 10 月，国泰航空主动对外披露了这一情况，并表示目前没有证据显示泄露数据遭到不当使用，ICO 也发布声明称，当前确实没有发现确凿的个人数据被滥用的案例，但不排除未来发生的可能性。

为什么国泰航空会发生数据泄露事件呢？根据 ICO 调查发现，国泰航空的系统是通过连接到互联网的服务器被侵入的，并且被安装了恶意软件来收集数据。另外，国泰航空还存在很多基本的安全问题，使得黑客轻松获得了访问权限，例如备份文件没有密码保护，服务器没有应用补丁，应用的操作系统是不再被开发者支持和维护的系统，防病毒保护不足等等。

ICO 调查主管史蒂夫·埃克斯利（Steve Eckersley）表示：“国泰航空系统中基本的安全缺陷数量众多，甚至有些安全措施远低于标准，从最基本的角度来看，该航空公司未能满足国家网络安全中心基本网络要求的五分之四。”

值得注意的是，本次国泰航空被罚 450 万依据的是英国 1998 年通过的《数据保护法》，而不是最近被频频提到的《通用数据保护条例》（GDPR）。主要原因是国泰航空数据泄露发生在 GDPR 生效之前，根据 ICO 披露的信息，未经授权使用国泰航空系统的最早日期是 2014 年 10 月 14 日，最早的未授权访问个人数据的日期是 2015 年 2 月 7 日。

相比于《数据保护法》，GDPR 的惩罚力度可能更大。2018 年 9 月，英国航空公司约 50 万客户的个人及信用卡信息泄露，ICO 拟罚款 1.83 亿英镑，约 16.5 亿人民币。