10月12日，紐約總檢察長辦公室宣布對(duì)快時(shí)尚電子商務(wù)品牌Shein和Romwe的母公司Zoetop處以190萬美元的罰款，原因是其對(duì)2018年數(shù)據(jù)泄露事件處理不當(dāng)。數(shù)據(jù)泄露涉及盜竊3900萬個(gè)Shein帳戶和700萬個(gè)Romwe帳戶。紐約股份公司認(rèn)定該公司未能妥善保護(hù)消費(fèi)者數(shù)據(jù)，也未能向消費(fèi)者充分披露違規(guī)程度。

零售業(yè)是網(wǎng)絡(luò)攻擊的常見目標(biāo)。根據(jù)Verizon的2022年數(shù)據(jù)泄露調(diào)查報(bào)告，憑證是該領(lǐng)域最常見的受損數(shù)據(jù)類型。2018年Zoetop漏洞之后的攻擊者竊取了數(shù)百萬個(gè)憑據(jù)。該公司歪曲了受違規(guī)影響的消費(fèi)者數(shù)量，只通知了一小部分受影響的客戶。

紐約股份公司指出Zoetop在多個(gè)領(lǐng)域的失敗，包括密碼管理、客戶信息保護(hù)、監(jiān)控和事件響應(yīng)。

“Shein和Romwe必須加強(qiáng)他們的網(wǎng)絡(luò)安全措施，以保護(hù)消費(fèi)者免受欺詐和身份盜用。該協(xié)議應(yīng)向公司發(fā)出明確警告，即他們必須加強(qiáng)其數(shù)字安全措施并對(duì)消費(fèi)者保持透明，否則將不會(huì)被容忍，”司法部長Letitia James在她的辦公室聲明中說。

有權(quán)訪問敏感客戶數(shù)據(jù)的實(shí)體受美國所有50個(gè)州的隱私和違規(guī)通知法的約束。3月簽署成為法律的2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案(CIRCIA)要求“涵蓋的實(shí)體向CISA報(bào)告涵蓋的網(wǎng)絡(luò)事件和勒索軟件付款”。此外，任何存儲(chǔ)歐盟居民個(gè)人信息的公司都必須遵守通用數(shù)據(jù)保護(hù)條例(GDPR)。如何評(píng)估罰款，例如Zoetop必須向紐約州支付的罰款？

信托情報(bào)公司OneTrust的首席法律和商務(wù)官Kim Rivera表示：“每部主要的隱私法在確定罰款的方法上都略有不同，但潛在的共同主題是更‘嚴(yán)重’的侵權(quán)行為會(huì)影響罰款的執(zhí)行和規(guī)模。”告訴信息周刊。

在宣布Zoetop罰款后不久，紐約金融服務(wù)部(DFS)確定健康保險(xiǎn)公司EyeMed將不得不向紐約州支付與2020年網(wǎng)絡(luò)釣魚攻擊相關(guān)的450萬美元罰款。這次攻擊導(dǎo)致數(shù)十萬消費(fèi)者的個(gè)人健康數(shù)據(jù)被泄露。DFS發(fā)現(xiàn)EyeMed未能實(shí)現(xiàn)多因素認(rèn)證，未能限制用戶訪問權(quán)限。

像這樣的罰款讓人質(zhì)疑未來的數(shù)據(jù)泄露是否會(huì)導(dǎo)致類似的執(zhí)法。

美國法律和監(jiān)管信息服務(wù)公司W(wǎng)olters Kluwer的隱私和網(wǎng)絡(luò)安全法律分析師Tony Foley指出，直到幾年前，執(zhí)法活動(dòng)一直相對(duì)有限。但這種情況正在改變。

“我們肯定看到全國總檢察長的調(diào)查有所增加，更不用說聯(lián)邦監(jiān)管機(jī)構(gòu)更加關(guān)注了。因此，我認(rèn)為公司將開始更加關(guān)注他們的數(shù)據(jù)安全和事件響應(yīng)計(jì)劃，”他說。

如果執(zhí)法力度不斷加大，這清楚地表明網(wǎng)絡(luò)安全和漏洞預(yù)防是保護(hù)不良行為者夢(mèng)寐以求的消費(fèi)者數(shù)據(jù)的公司的一項(xiàng)重要投資。

預(yù)防是避免數(shù)據(jù)泄露罰款的最佳方法。即使公司遭受數(shù)據(jù)泄露，其采取的預(yù)防措施也可能會(huì)影響罰款的嚴(yán)重程度。紐約股份公司在其聲明中引用了Zoetop的“薄弱的數(shù)字安全措施”，紐約DFS還指出EyeMed的安全措施不足。由于各自與國家達(dá)成協(xié)議，兩家公司都必須采取措施改善其網(wǎng)絡(luò)安全。

“如果他們[公司]首先做出明顯合理的努力來保護(hù)他們的數(shù)據(jù)，并在受到攻擊時(shí)采取法律要求的所有必要通知和報(bào)告步驟，他們很可能會(huì)逃避任何執(zhí)法行動(dòng)，”Foley認(rèn)為.

正如Zoetop示例所表明的那樣，適當(dāng)?shù)倪`規(guī)通知對(duì)于避免經(jīng)濟(jì)處罰至關(guān)重要。

“正確通知當(dāng)局和個(gè)人數(shù)據(jù)泄露可以證明組織對(duì)數(shù)據(jù)隱私和透明度的承諾，并有助于保持與消費(fèi)者的信任，同時(shí)還可以避免未來的處罰，”Rivera說。