--- title: "攻擊者掌握了 16 位卡號和到期日期,但沒有持卡人的姓名。該組織現被罰款 50 萬英鎊" description: "英國的數據保護監管機構維持對 DSG Retail 的 50 萬英鎊罰款,原因是 2017 年的數據泄露事件暴露了數百萬個支付卡信息。上訴法院裁定,儘管攻擊者無法從被盜信息中識別持卡人,DSG 仍有法律責任保護這些數據作為個人信息。該案件將返回初審法庭進行進一步審查,並有可能上訴至英國最高法院。信息專員辦公室強調了保護組織處理的所有個人數據的重要性" type: "news" locale: "zh-HK" url: "https://longbridge.com/zh-HK/news/276519479.md" published_at: "2026-02-21T19:57:17.000Z" --- # 攻擊者掌握了 16 位卡號和到期日期,但沒有持卡人的姓名。該組織現被罰款 50 萬英鎊 > 英國的數據保護監管機構維持對 DSG Retail 的 50 萬英鎊罰款,原因是 2017 年的數據泄露事件暴露了數百萬個支付卡信息。上訴法院裁定,儘管攻擊者無法從被盜信息中識別持卡人,DSG 仍有法律責任保護這些數據作為個人信息。該案件將返回初審法庭進行進一步審查,並有可能上訴至英國最高法院。信息專員辦公室強調了保護組織處理的所有個人數據的重要性 英國的數據保護監管機構在與一家英國零售集團的漫長法律鬥爭中取得了一小勝,該集團在 2017 年的數據泄露中丟失了數百萬條數據記錄。 您可以在這裏閲讀沃比法官昨天發佈的裁決 \[PDF\]。 信息專員辦公室(ICO)在 2020 年最初對 DSG Retail 處以 50 萬英鎊(67.3 萬美元)的罰款,這是根據 1998 年數據保護法(DPA 1998)允許的最高財務罰款——在 GDPR 實施前的相關立法。 其貨幣罰款通知(MPN)被上訴法院的初審法庭維持,但後來被上級法庭 \[PDF\] 撤銷,該法庭支持 DSG Retail,如果該決定是最終的,將有效地使 ICO 的罰款無效。 案件的重要性在於被盜數據的性質。黑客在 DSG 擁有的消費電子商店 Currys PC World 和 Dixons Travel 的 5390 個收銀機上安裝了惡意軟件。 ICO 在發佈其 MPN 時確認,該惡意軟件在九個月內未被發現,竊取了 560 萬條支付卡信息和約 1400 萬人的個人信息。 時任專員史蒂夫·埃克斯利當時表示,ICO 的調查結果令人 “擔憂”,與 “基本、常見的安全措施” 有關,最終顯示出對客户數據的 “完全漠視”。 爭議的焦點是,攻擊者獲取的卡片信息是否可以用來識別持卡人。與支付信息分開訪問的個人數據並不是本案中討論的內容。 關鍵是,涉及的卡片信息是長達 16 位的卡號和到期日期,但不是卡上的姓名。 DSG 辯稱,案件的這一特定方面並不構成個人數據泄露,因為黑客無法僅憑支付卡信息識別個人。DSG 承認,作為一個組織,它可以將卡數據與真實個人聯繫起來,但攻擊者無法做到。 上級法庭對 ICO 作出了不利裁決,認為案件應從攻擊者的角度來看。如果他們無法使用卡數據識別個人,那麼該數據在 DPA 1998 的犯罪背景下就不應被視為個人數據。 沃比法官在週四得出結論,認為這一論點不正確,支持 ICO,將案件發回初審法庭,該法庭在第一審中做出了正確的裁決。 他的判決挑戰了上級法庭對法律的解釋,表示個人數據必須從控制者的角度來看;如果它可以導致識別個人,在本案中是 DSG Retail,那麼它就是個人數據。 相關法規要求數據控制者保護這些數據,無論第三方是否能夠使用它來識別個人。 沃比法官補充説,上級法庭的思維方式如果確實是 DPA 1998 的正確解釋,可能會導致混淆的後果。 例如,這種相同的方法將有效地解除數據控制者在勒索軟件攻擊發生時保護數據的責任,只要攻擊者無法使用它來識別個人。 “上訴法庭和 DSG 的論點隱含地認為,只要惡意行為者無法識別與數據相關的個人,這種干預從數據主體的角度來看基本上是無害的,因此對他們的保護責任將是毫無意義的負擔,” 沃比法官裁定。“我不接受這一點。” 他接着討論了拼圖識別的可能性,即攻擊者可以利用通過各種來源在線可獲取的大量個人數據來識別持卡人。 “技術的複雜性大大提高。定位、組裝和結合不同項目以獲取有關個人的信息的能力大大增強。通常很難排除未經授權訪問數據集部分的風險,這些部分本身並不識別任何個人,但可能導致某個未知第三方(合法)訪問識別手段。” 現在,上訴法院裁定 DSG 有法律責任將支付卡數據作為個人數據進行保護,初審法庭將根據這一裁決重新審查案件。 DSG 可能會對法庭的決定提出上訴,再次將其送回上級法庭。如果爭議仍然存在,可能會成為英國最高法院的問題。 ICO 的總法律顧問賓妮·高表示:“今天的裁決是一個重要的勝利,為受到網絡攻擊影響的人們以及行業帶來了急需的明確性。” “我們歡迎上訴法院確認,組織必須保護他們處理的所有個人數據,無論黑客如何使用或利用這些數據。這承認即使黑客無法從被盜數據集中單獨識別個人,網絡攻擊仍然會造成實際傷害。 “隨着網絡犯罪威脅的上升,這一決定增強了我們在未來採取強有力行動的能力,並向所有組織發出了明確的信息:您有責任保護您所持有的個人數據。” DSG Retail 的當前交易名稱 Curry's PLC 未對我們的評論請求作出回應。® ### Related Stocks - [TSCO.UK - 樂購](https://longbridge.com/zh-HK/quote/TSCO.UK.md) ## Related News & Research | Title | Description | URL | |-------|-------------|-----| | 內部人士買入:樂購(LON:TSCO)的一位內部人士收購了 29 股股票 | 樂購的內部人士肯·墨菲於 2 月 13 日以每股 482 便士的價格購買了 29 股,總計 139.78 英鎊。這是在之前購買了 32 股(每股 424 便士)和 11,961 股(每股 418 便士)之後的交易。樂購的股票上漲了 0.9% | [Link](https://longbridge.com/zh-HK/news/276073155.md) | | 瑞銀維持對樂購(Tesco PLC,TSCO)的買入評級 | 瑞銀分析師 Sreedhar Mahamkali 對樂購(Tesco plc,股票代碼:TSCO)維持了買入評級,目標價為 500.00 便士。Mahamkali 的平均回報率為-0.6%,成功率為 47.19%,專注於消費防禦行業。此外, | [Link](https://longbridge.com/zh-HK/news/273736492.md) | | 菲參議員登中業島 籲聯合抗中國南海主權聲索 | 菲律賓參議員洪迪薇近日登上中業島,呼籲加強與他國的防禦關係,持續反抗中國在南海的主權主張。她強調菲律賓人不應放棄「西菲律賓海」的任何部分,並希望與更多國家發展安全與防衞關係。洪迪薇還提到,菲律賓應關注台海衝突的可能性,並表示將為中業島提供基 | [Link](https://longbridge.com/zh-HK/news/276518735.md) | | Grok 疑生成性深偽影像惹議 被歐盟監管機構盯上 | 愛爾蘭資料保護委員會已對社羣平台 X 的 AI 聊天機器人 Grok 展開正式調查,關注其處理個人資料及生成有害性影像的方式。調查旨在判斷 X 是否遵守 GDPR 規定,可能面臨高達全球營收 4% 的罰款。Grok 因生成近乎裸露的真實人物 | [Link](https://longbridge.com/zh-HK/news/276115264.md) | | 攻擊者擁有 16 位卡號和有效期,但沒有持卡人姓名。該組織是否應被罰款 50 萬英鎊? | 英國的數據保護監管機構在與 DSG Retail 的法律鬥爭中獲勝,該公司在 2017 年的數據泄露中丟失了數百萬條數據記錄。信息專員辦公室最初對 DSG 處以 50 萬英鎊的罰款,但上級法庭推翻了這一決定,認為被盜的卡片信息並不屬於個人數 | [Link](https://longbridge.com/zh-HK/news/276432699.md) | --- > **免責聲明**:本文內容僅供參考,不構成任何投資建議。