近日,澳大利亚临床实验室因 2022 年数据泄露,致超 22.3 万人个人信息外泄,被罚款 580 万澳元(约合人民币 2698 万元),此为澳大利亚信息专员办公室首次行使执法权。
联邦法院裁定罚款2700万元
联邦法院判定,该公司Medlab病理检测业务未采取合理措施确保数据安全,未及时评估泄露事件及向监管部门报告。此为《隐私法》首次适用民事罚款的案例。
Halley法官称,这些违法行为“影响范围大且性质恶劣”,公司高层管理人员还直接参与了IT系统及应对网络攻击策略的决策。
他认定,该公司“未能以足够的谨慎与勤勉态度管理Medlab IT系统面临的网络攻击风险”。
法院裁定三项罚款:未能充分保护个人信息罚款420万澳元,未能及时评估泄露事件罚款80万澳元,以及未能及时向OAIC通报罚款80万澳元。
Halley法官表示,该公司的行为“极有可能对信息被泄露的个人造成重大损害,包括经济损失、精神痛苦或心理伤害,以及实质性不便”。
他进一步补充道,这些失职举动“还可能广泛削弱公众对掌握个人隐私与敏感信息机构的信任”。
澳大利亚临床实验室承认自身违规行为并公开致歉,还积极配合了OAIC的调查。法院表示,此后该公司已推行相关计划,加强网络安全体系并改善合规文化。
澳信息专员首次动用执法权力
澳大利亚信息专员伊丽莎白·泰德(Elizabeth Tydd)称,此次裁决“给所有APP实体敲响了关键警钟,提醒它们必须时刻保持警觉,妥善保护并负责地管理所掌握的个人信息”。
她表示,这一决定“有力地提醒各机构,要确保对潜在的数据泄露事件展开合理且及时的调查,并进行恰当报告”。
隐私专员Carly Kind表示,这一决定标志着“澳大利亚隐私法执法的一个重要转折点”。
她指出:“这是首次有受监管实体依据《隐私法》被处以民事罚款,这既符合公众预期,也体现了议会授予OAIC的执法权力。”
“这应当成为一个醒目的警示,特别是对于在澳大利亚医疗体系内运营的服务商而言:一旦严重失职,未能保护好所掌握的个人医疗及隐私信息,就必然要承担相应后果。”
此次罚款是按照之前的处罚机制执行的,当时每项违规的最高罚款上限为222万澳元。而根据2022年12月生效的新法规,现行罚款上限已提高至5000万澳元、违法所得的三倍,或年营业额的30%,具体以三者中较高金额为准。
来源 | 奇安信集团
领取优惠
提交成功!