高高举起，轻轻放下！万豪国际资料外泄只被英国判罚1,840万英镑

负责资料保护的英国资讯专员办公室（Information Commissioner\'s Office，ICO），上周针对全球最大连锁饭店万豪国际（Marriott International）的资料外泄事件作出正式裁决，判罚1,840万英镑（约7亿元新台币），一如外界预期，真正的裁罚不到最初判罚9,900万英镑的1/5，与英国航空资料外泄案如出一辙。

根据ICO的调查，喜达屋酒店及度假酒店国际集团（Starwood Hotels & Resorts Worldwide, Inc.）是在2014年遭到网络攻击，而此一攻击却是到2018年9月才被发现，至于万豪国际则是在2016年才买下喜达屋。

调查显示，骇客先是在喜达屋的系统中植入了Web Shell，进而安装恶意程式以让骇客取得系统的存取特权，以及搜集其它使用者的登入凭证。

相关的攻击酿成喜达屋酒店及度假酒店国际集团的3.39亿名房客的资料外泄，包括姓名、电子邮件账号、电话号码、未加密的护照号码、航班资讯、VIP状态与会员卡号码等，当中有700万名房客为英国人。

ICO说明，虽然攻击始于2014年，但计算罚款的时间点则是自GDPR生效的2018年5月25日起，在去年7月宣布将开罚之后，万豪国际已采取诸多措施来改善系统的安全性并减轻资料外泄所造成的影响，再加上考量饭店业因疫情所带来的经济冲击，酌情作出最终处分。