澳大利亚电信监管机构起诉Optus 2022年数据泄露

澳大利亚通信和媒体管理局表示，由于Optus在2022年9月的数据泄露事件中未能保护敏感的客户数据，已向联邦法院提起诉讼，该事件影响了近1000万人。

该机构本周表示:“Optus未能按照1979年《电信(拦截和访问)法》(Cth)的要求，保护其客户个人信息的机密性，使其免受未经授权的干扰或访问。”“由于此事目前已提交法院审理，ACMA目前不会发表任何进一步声明。”

Optus在2022年遭遇了一次重大的客户数据泄露，恶意行为者获得了大约980万前任和现任客户的敏感信息，包括姓名、生日、电话号码、电子邮件地址，以及一小部分客户的地址和身份证件号码，如驾驶执照或护照号码。

该公司在一份电子邮件声明中告诉信息安全媒体集团，在数据泄露事件发生后，它已经采取了“重大措施”来保护其客户，并打算在澳大利亚联邦法院为自己辩护。

“Optus此前已向其客户道歉，并已采取重大措施，包括与警方和其他当局合作保护他们。它还补偿了客户更换身份证件的费用，”新加坡电信旗下的公司表示。

“Optus打算为这些诉讼辩护。由于此事目前正在法庭审理，Optus无法进一步置评。”

该公司补充说，它“无法确定可能出现的处罚金额，如果有的话。”

这是该机构最近对Optus提起的第二起诉讼。今年3月，Optus向ACMA支付了150万澳元的罚款，因为监管机构的调查确定该公司未能将近20万客户的信息上传到综合公众号数据库，违反了《电信法》。

该数据库帮助关键服务部门向市民发出洪水和丛林火灾等灾害警报，并管理三重零服务，以便在紧急情况下与警察、救护车和消防队共享市民的位置信息。

Optus等待OAIC的决定

澳大利亚信息专员办公室(Office of The Australian Information Commissioner)也在调查2022年的数据安全事件，几家澳大利亚律师事务所代表数百万数据被黑客访问并发布在暗网上的客户，提议对Optus提起集体诉讼。

OAIC于2022年10月开始调查Optus的个人信息处理做法，称其打算调查该公司是否“采取合理措施保护其持有的个人信息免遭滥用、干扰、丢失、未经授权的访问、修改或披露，以及收集和保留的信息是否对开展业务是必要的。”

OAIC还在调查Optus在安全事件发生期间和之后是否采取了合理措施遵守《澳大利亚隐私原则》(Australian Privacy Principles)。

泄露事件发生两个月后，澳大利亚议会通过了《隐私法》修正案，授权OAIC对严重或重复的隐私泄露行为处以最高5000万澳元或公司相关期间调整后营业额的30%的罚款，以较高者为准。

信息专员Angelene Falk表示:“最新的处罚将使澳大利亚隐私法与欧洲通用数据保护条例(General Data Protection Regulation)下的竞争和消费者补救措施以及国际处罚措施更加一致。”“在寻求处罚或采取监管行动方面，我们将继续采取务实、循证和适度的方式。”

澳大利亚政府在2022年的联邦预算中，在两年内为OAIC提供了550万澳元的资金，以帮助调查Optus数据泄露事件。

除了联邦调查和ACMA诉讼之外，Optus还面临着艰难的法律战。去年11月，美国联邦法院(federal Court)驳回了Optus为德勤(deloitte)准备的一份有关数据安全事件的法医报告保密的动议。这一裁决使集体诉讼律师能够获得有关违规行为的法医细节，他们可以利用这些细节来加强自己的诉讼。

原文始发于微信公众号（HackSee）：澳大利亚电信监管机构起诉Optus 2022年数据泄露