外媒报道称，因 2018 年在欧盟《通用数据保护条例》（GDPR）生效后发生的一次数据意外泄露事件，国泰航空已被英国数据监督机构处以 50 万英镑的罚款。据悉，本次漏洞暴露了全球约 940 万客户的个人详细信息，且其中有 111578 名来自英国。经过数月的调查，信息专员办公室（ICO）于今日正式宣布了这项惩罚。

外媒指出，这可能是根据英国相关法律而指定的最高罚款金额，且与该航空公司在 2018 年秋季发生的数据违例事件有关。

国泰航空当时表示，其在三月份首次发现了针对该公司系统的未经授权访问，但并未解释为何花了那么久的时间才公开。

本次违例导致乘客的详细信息被泄露，包括姓名、护照、出生日期、电子邮件地址、电话号码、以及历史旅行等敏感信息。

ICO 今日称，针对国泰航空系统的未经授权访问，最早可追溯到 2014 年 10 月 14 日。已知针对个人数据的窥探，最早记录是 2015 年 2 月 7 日。

监管机构在一份新闻稿中写道：“ICO 发现国泰航空公司的系统是通过连接到互联网的服务器进入的，并被安装了恶意软件来收集数据”。

调查期间，监管机构记下了大量的错误和疏漏，包括未对文件加上密码保护、没有给面向互联网的服务器打上补丁、使用不再受支持的操作系统、以及防病毒措施的不足。

由 ICO 对国泰航空的处罚可知，英国已将欧盟的 GDPR 框架纳入了该国的法律，对涉及个人数据的违例采取了更加严格的惩戒措施。

根据要求，在当地有开展业务的数据控制者在意识到违例行为发生后，必须在 72 小时内通报英国国家监管机构。

此外 GDPR 包含了更加严格的罚款制度，最高可达全球年营业额的 4% 。不过由于事件发生在新规生效之前，ICO 还是按照先前的英国数据保护法规来设定罚款金额，否则国泰航空将面临更猛烈的冲击。

去年夏天，曝出安全漏洞被利用的英国航空因在 GDPR 生效后泄露了 50 万名旅客数据，而被 ICO 处以年收入 1.5% 的罚款（高达 1.839 亿英镑）。