--- title: "攻击者掌握了 16 位卡号和到期日期,但没有持卡人的姓名。该组织现被罚款 50 万英镑" description: "英国的数据保护监管机构维持对 DSG Retail 的 50 万英镑罚款,原因是 2017 年的数据泄露事件暴露了数百万个支付卡信息。上诉法院裁定,尽管攻击者无法从被盗信息中识别持卡人,DSG 仍有法律责任保护这些数据作为个人信息。该案件将返回初审法庭进行进一步审查,并有可能上诉至英国最高法院。信息专员办公室强调了保护组织处理的所有个人数据的重要性" type: "news" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/276519479.md" published_at: "2026-02-21T19:57:17.000Z" --- # 攻击者掌握了 16 位卡号和到期日期,但没有持卡人的姓名。该组织现被罚款 50 万英镑 > 英国的数据保护监管机构维持对 DSG Retail 的 50 万英镑罚款,原因是 2017 年的数据泄露事件暴露了数百万个支付卡信息。上诉法院裁定,尽管攻击者无法从被盗信息中识别持卡人,DSG 仍有法律责任保护这些数据作为个人信息。该案件将返回初审法庭进行进一步审查,并有可能上诉至英国最高法院。信息专员办公室强调了保护组织处理的所有个人数据的重要性 英国的数据保护监管机构在与一家英国零售集团的漫长法律斗争中取得了一小胜,该集团在 2017 年的数据泄露中丢失了数百万条数据记录。 您可以在这里阅读沃比法官昨天发布的裁决 \[PDF\]。 信息专员办公室(ICO)在 2020 年最初对 DSG Retail 处以 50 万英镑(67.3 万美元)的罚款,这是根据 1998 年数据保护法(DPA 1998)允许的最高财务罚款——在 GDPR 实施前的相关立法。 其货币罚款通知(MPN)被上诉法院的初审法庭维持,但后来被上级法庭 \[PDF\] 撤销,该法庭支持 DSG Retail,如果该决定是最终的,将有效地使 ICO 的罚款无效。 案件的重要性在于被盗数据的性质。黑客在 DSG 拥有的消费电子商店 Currys PC World 和 Dixons Travel 的 5390 个收银机上安装了恶意软件。 ICO 在发布其 MPN 时确认,该恶意软件在九个月内未被发现,窃取了 560 万条支付卡信息和约 1400 万人的个人信息。 时任专员史蒂夫·埃克斯利当时表示,ICO 的调查结果令人 “担忧”,与 “基本、常见的安全措施” 有关,最终显示出对客户数据的 “完全漠视”。 争议的焦点是,攻击者获取的卡片信息是否可以用来识别持卡人。与支付信息分开访问的个人数据并不是本案中讨论的内容。 关键是,涉及的卡片信息是长达 16 位的卡号和到期日期,但不是卡上的姓名。 DSG 辩称,案件的这一特定方面并不构成个人数据泄露,因为黑客无法仅凭支付卡信息识别个人。DSG 承认,作为一个组织,它可以将卡数据与真实个人联系起来,但攻击者无法做到。 上级法庭对 ICO 作出了不利裁决,认为案件应从攻击者的角度来看。如果他们无法使用卡数据识别个人,那么该数据在 DPA 1998 的犯罪背景下就不应被视为个人数据。 沃比法官在周四得出结论,认为这一论点不正确,支持 ICO,将案件发回初审法庭,该法庭在第一审中做出了正确的裁决。 他的判决挑战了上级法庭对法律的解释,表示个人数据必须从控制者的角度来看;如果它可以导致识别个人,在本案中是 DSG Retail,那么它就是个人数据。 相关法规要求数据控制者保护这些数据,无论第三方是否能够使用它来识别个人。 沃比法官补充说,上级法庭的思维方式如果确实是 DPA 1998 的正确解释,可能会导致混淆的后果。 例如,这种相同的方法将有效地解除数据控制者在勒索软件攻击发生时保护数据的责任,只要攻击者无法使用它来识别个人。 “上诉法庭和 DSG 的论点隐含地认为,只要恶意行为者无法识别与数据相关的个人,这种干预从数据主体的角度来看基本上是无害的,因此对他们的保护责任将是毫无意义的负担,” 沃比法官裁定。“我不接受这一点。” 他接着讨论了拼图识别的可能性,即攻击者可以利用通过各种来源在线可获取的大量个人数据来识别持卡人。 “技术的复杂性大大提高。定位、组装和结合不同项目以获取有关个人的信息的能力大大增强。通常很难排除未经授权访问数据集部分的风险,这些部分本身并不识别任何个人,但可能导致某个未知第三方(合法)访问识别手段。” 现在,上诉法院裁定 DSG 有法律责任将支付卡数据作为个人数据进行保护,初审法庭将根据这一裁决重新审查案件。 DSG 可能会对法庭的决定提出上诉,再次将其送回上级法庭。如果争议仍然存在,可能会成为英国最高法院的问题。 ICO 的总法律顾问宾妮·高表示:“今天的裁决是一个重要的胜利,为受到网络攻击影响的人们以及行业带来了急需的明确性。” “我们欢迎上诉法院确认,组织必须保护他们处理的所有个人数据,无论黑客如何使用或利用这些数据。这承认即使黑客无法从被盗数据集中单独识别个人,网络攻击仍然会造成实际伤害。 “随着网络犯罪威胁的上升,这一决定增强了我们在未来采取强有力行动的能力,并向所有组织发出了明确的信息:您有责任保护您所持有的个人数据。” DSG Retail 的当前交易名称 Curry's PLC 未对我们的评论请求作出回应。® ### Related Stocks - [TSCO.UK - 乐购](https://longbridge.com/zh-CN/quote/TSCO.UK.md) ## Related News & Research | Title | Description | URL | |-------|-------------|-----| | Insider Buying: Tesco (LON:TSCO) Insider Acquires 29 Shares of Stock | Tesco PLC insider Ken Murphy acquired 29 shares at GBX 482 each on February 13, totaling £139.78. This follows previous | [Link](https://longbridge.com/zh-CN/news/276073155.md) | | UBS Keeps Their Buy Rating on Tesco plc (TSCO) | UBS analyst Sreedhar Mahamkali has maintained a Buy rating on Tesco plc (TSCO) with a price target of p500.00. Mahamkali | [Link](https://longbridge.com/zh-CN/news/273736492.md) | | Attackers have 16-digit card numbers, expiry dates, but not names. Should org get £500k fine? | The UK's data protection watchdog has won a legal battle against DSG Retail, which lost millions of data records in a 20 | [Link](https://longbridge.com/zh-CN/news/276432699.md) | | 18:18 ETStrategic Investment Solutions Inc. Data Breach Alert Issued By Wolf Haldenstein | Wolf Haldenstein Adler Freeman & Herz LLP is investigating claims related to a data breach at Strategic Investment Solut | [Link](https://longbridge.com/zh-CN/news/276284583.md) | | Hunt files police report against Cornyn campaign over release of family personal information | Rep. Wesley Hunt (R-Texas) filed a police report against Sen. John Cornyn's campaign after a senior staffer allegedly re | [Link](https://longbridge.com/zh-CN/news/276263760.md) | --- > **免责声明**:本文内容仅供参考,不构成任何投资建议。