前情回顾·网络安全合规执法
安全内参10月13日消息,澳大利亚临床实验室(Australian Clinical Labs)因2022年发生的数据泄露事件被罚款580万澳元(约合人民币2698万元)。该事件导致超过22.3万人的个人信息外泄,这也是澳大利亚信息专员办公室(OAIC)首次动用其执法权力。
联邦法院裁定罚款2700万元
联邦法院认定,该公司的Medlab病理检测业务未能采取合理措施保障数据安全,也未能及时评估此次泄露事件或向监管机构报告。这是《隐私法》首次适用民事罚款的案例。
Halley法官指出,这些违法行为“范围广泛且性质严重”,并表示公司高层管理人员直接参与了有关其IT系统及网络攻击应对策略的决策。
他认定,该公司“未能以足够的谨慎与勤勉态度管理Medlab IT系统面临的网络攻击风险”。
法院裁定三项罚款:未能充分保护个人信息罚款420万澳元,未能及时评估泄露事件罚款80万澳元,以及未能及时向OAIC通报罚款80万澳元。
Halley法官表示,该公司的行为“极有可能对信息被泄露的个人造成重大损害,包括经济损失、精神痛苦或心理伤害,以及实质性不便”。
他补充,这些失职行为还“可能对公众对掌握个人隐私和敏感信息机构的信任产生更为广泛的不利影响”。
澳大利亚临床实验室已承认违规,公开致歉,并配合OAIC的调查。法院指出,该公司此后已启动相关计划,以强化其网络安全体系并改善合规文化。
澳信息专员首次动用执法权力
澳大利亚信息专员Elizabeth Tydd表示,此次裁决“为所有APP实体敲响了重要警钟,提醒他们必须保持警惕,妥善保护并负责任地管理所持有的个人信息”。
她说,这一决定是“一次强有力的提醒,敦促各机构确保对潜在数据泄露事件进行合理且迅速的调查,并适当报告”。
隐私专员Carly Kind表示,这一决定标志着“澳大利亚隐私法执法的一个重要转折点”。
她指出:“这是首次有受监管实体依据《隐私法》被处以民事罚款,这既符合公众预期,也体现了议会授予OAIC的执法权力。”
“这应成为一个鲜明的警示,尤其是对在澳大利亚医疗体系内运营的服务提供者而言:若严重未能保护所持有的个人医疗及隐私信息,必将承担相应后果。”
这些罚款依据此前的处罚机制执行,每项违规最高罚款上限为222万澳元。根据2022年12月生效的新法,现行罚款上限已提升至5000万澳元、违法所得的三倍,或年营业额的30%,以较高者为准。
参考资料:innovationaus.com
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
