澳洲企业纷纷中招：海外服务器埋雷，数据外泄

摘要：周日，多达570万澳大利亚澳洲航空公司（Qantas，下文简称“澳航”）客户的个人信息——包括电话号码和生日——被泄露至暗网。这一事件再次为所有澳大利亚人敲响了警钟：必须加强网络安全防范，并对诈骗行为保持高度警惕。

本文为深度编译，仅供交流学习，不代表日新说观点

周日，多达570万澳大利亚澳洲航空公司（Qantas，下文简称“澳航”）客户的个人信息——包括电话号码和生日——被泄露至暗网。这一事件再次为所有澳大利亚人敲响了警钟：必须加强网络安全防范，并对诈骗行为保持高度警惕。

据报道，一个名为“散落的Lapsus Hunter）的网络犯罪团伙，早在今年六月就通过欺诈手段，诱骗了位于菲律宾马尼拉的一家呼叫中心运营商，从而获得了其美国赛富时公司（Salesforce）系统的访问权限。

澳大利亚联邦网络安全部长托尼·伯克（Tony Burke）周一对此表示：“企业不能简单地认为，将业务外包给其他公司，自己就可以对网络安全不闻不问……这种行为将面临极其严厉的处罚。”

那么，澳航究竟可能面临怎样的处罚？为何在澳大利亚的金融公司将业务外包至海外时，企业监管机构会发出更严重数据失窃风险的警告？

莫里斯·布莱克本律师事务所（Morris Blackburn）已就此次澳航数据泄露事件，向澳大利亚的独立隐私监管机构——信息专员办公室（OAIC）——提交了投诉，指控该航空公司因未能充分保护客户信息而违反了隐私法。

当澳大利亚广播公司（ABC）问询时，信息专员办公室拒绝就澳航是否会因此次最新的泄露事件被罚款发表评论。

那么，此类违规行为的最高罚金是多少？

根据现行的《隐私法》，对于严重或屡次发生的隐私泄露事件，最高可处的罚款为5000万澳元，或企业在违规期间调整后营业额的30%——两者中取其高者。

不过，本次澳航数据泄露事件的严重程度，低于2022年澳大利亚电信公司Optus和澳大利亚医疗保险公司Medibank所遭遇的泄露事件。例如，在Medibank一案中，黑客曾泄露了客户高度敏感的医疗历史数据，并窃取了包含信用卡、护照及驾照信息的珍贵身份文件。该案目前仍在法院审理之中。

尽管此次澳航泄露的数据同样敏感——包含客户的出生日期、电话号码、地址、电子邮箱及常旅客号码——但对个人客户造成的直接风险相对较低。

除了《隐私法》规定的处罚外，澳航还可能面临集体诉讼，所有受影响的客户都可以选择加入。另一种可能的结果是，法院强制执行一项赔偿方案，届时数据泄露事件的受害者或可从澳航获得经济赔偿。十年前，在英国剑桥分析公司（Cambridge Analytica）的数据泄露丑闻中，美国社交媒体巨头Facebook的用户就曾获得过类似的赔偿安排。

《澳大利亚隐私法》设有专门条款，用于规范企业在向境外传输数据时的处理方式。

关键在于：当一家澳大利亚企业向境外实体提供数据时，该澳大利亚企业仍然需要为确保这些数据的安全承担最终责任。

正因如此，澳大利亚企业必须审慎评估向海外传输本国公民数据时可能存在的潜在风险。这些风险本应成为澳航的当务之急——就在2024年，该公司就曾因一家海外承包商涉嫌不当行为而遭遇过一次规模较小的数据泄露。

然而，此类风险远不止于澳航这样的旗舰级企业。