详细内容或原文请订阅后点击阅览
攻击者拥有 16 位卡号、有效期,但没有姓名。现在组织被罚款 50 万英镑
上诉法官在 ICO 与一家被泄露的零售巨头的最新诉讼中驳回了下级法庭的裁决英国数据保护监管机构在与一家英国零售集团的漫长法律诉讼中取得了小胜,该零售集团在 2017 年的一次泄露中丢失了数百万条数据记录。
来源:The Register _恶意软件英国数据保护监管机构在针对一家英国零售集团的漫长法律诉讼中取得了小胜,该零售集团在 2017 年的一次数据泄露事件中丢失了数百万条数据记录。
您可以在此处阅读沃比大法官昨天做出的裁决 [PDF]。
信息专员办公室 (ICO) 最初于 2020 年对 DSG Retail 处以 500,000 英镑(673,000 美元)的罚款,这是《1998 年数据保护法》(DPA 1998)(GDPR 之前的相关立法)允许的最高罚款金额。
上诉法院的一级法庭维持了其罚款通知 (MPN),但后来被上级法庭 [PDF] 推翻,该法庭站在 DSG Retail 一边,如果该决定是最终决定,则将有效地取消 ICO 的罚款。
对于本案来说,重要的是被盗数据的性质。黑客在 DSG 旗下消费电子商店 Currys PC World 和 Dixons Travel 的 5,390 个收银台上安装了恶意软件。
ICO 在发布 MPN 时证实,该恶意软件在长达 9 个月的时间里未被注意到,窃取了 560 万张支付卡详细信息以及约 1400 万人的个人信息。
时任专员史蒂夫·埃克斯利 (Steve Eckersley) 当时表示,ICO 的调查结果“令人担忧”,并与“基本、常见的安全措施”相关,最终表明“完全无视”客户数据。
这场旷日持久的法律案件的核心争论点是,攻击者获取的银行卡详细信息是否可用于识别持卡人的身份。在本案中,与付款详细信息分开访问的个人数据宝库并不是争论的焦点。
至关重要的是,所涉及的卡详细信息是长 16 位卡号和有效期,而不是卡上的姓名。
上级法庭做出了对 ICO 不利的裁决,认为应该从攻击者的角度来看待此案。如果他们无法使用卡数据来识别人员身份,那么该数据不应被视为 DPA 1998 犯罪行为中的个人数据。