10月12日，紐約總檢察長辦公室宣布對快時尚電子商務品牌Shein和Romwe的母公司Zoetop處以190萬美元的罰款，原因是其對2018年數據泄露事件處理不當。數據泄露涉及盜竊3900萬個Shein帳戶和700萬個Romwe帳戶。紐約股份公司認定該公司未能妥善保護消費者數據，也未能向消費者充分披露違規(guī)程度。

零售業(yè)是網絡攻擊的常見目標。根據Verizon的2022年數據泄露調查報告，憑證是該領域最常見的受損數據類型。2018年Zoetop漏洞之后的攻擊者竊取了數百萬個憑據。該公司歪曲了受違規(guī)影響的消費者數量，只通知了一小部分受影響的客戶。

紐約股份公司指出Zoetop在多個領域的失敗，包括密碼管理、客戶信息保護、監(jiān)控和事件響應。

“Shein和Romwe必須加強他們的網絡安全措施，以保護消費者免受欺詐和身份盜用。該協(xié)議應向公司發(fā)出明確警告，即他們必須加強其數字安全措施并對消費者保持透明，否則將不會被容忍，”司法部長Letitia James在她的辦公室聲明中說。

有權訪問敏感客戶數據的實體受美國所有50個州的隱私和違規(guī)通知法的約束。3月簽署成為法律的2022年關鍵基礎設施網絡事件報告法案(CIRCIA)要求“涵蓋的實體向CISA報告涵蓋的網絡事件和勒索軟件付款”。此外，任何存儲歐盟居民個人信息的公司都必須遵守通用數據保護條例(GDPR)。如何評估罰款，例如Zoetop必須向紐約州支付的罰款？

信托情報公司OneTrust的首席法律和商務官Kim Rivera表示：“每部主要的隱私法在確定罰款的方法上都略有不同，但潛在的共同主題是更‘嚴重’的侵權行為會影響罰款的執(zhí)行和規(guī)模。”告訴信息周刊。

在宣布Zoetop罰款后不久，紐約金融服務部(DFS)確定健康保險公司EyeMed將不得不向紐約州支付與2020年網絡釣魚攻擊相關的450萬美元罰款。這次攻擊導致數十萬消費者的個人健康數據被泄露。DFS發(fā)現EyeMed未能實現多因素認證，未能限制用戶訪問權限。

像這樣的罰款讓人質疑未來的數據泄露是否會導致類似的執(zhí)法。

美國法律和監(jiān)管信息服務公司Wolters Kluwer的隱私和網絡安全法律分析師Tony Foley指出，直到幾年前，執(zhí)法活動一直相對有限。但這種情況正在改變。

“我們肯定看到全國總檢察長的調查有所增加，更不用說聯邦監(jiān)管機構更加關注了。因此，我認為公司將開始更加關注他們的數據安全和事件響應計劃，”他說。

如果執(zhí)法力度不斷加大，這清楚地表明網絡安全和漏洞預防是保護不良行為者夢寐以求的消費者數據的公司的一項重要投資。

預防是避免數據泄露罰款的最佳方法。即使公司遭受數據泄露，其采取的預防措施也可能會影響罰款的嚴重程度。紐約股份公司在其聲明中引用了Zoetop的“薄弱的數字安全措施”，紐約DFS還指出EyeMed的安全措施不足。由于各自與國家達成協(xié)議，兩家公司都必須采取措施改善其網絡安全。

“如果他們[公司]首先做出明顯合理的努力來保護他們的數據，并在受到攻擊時采取法律要求的所有必要通知和報告步驟，他們很可能會逃避任何執(zhí)法行動，”Foley認為.

正如Zoetop示例所表明的那樣，適當的違規(guī)通知對于避免經濟處罰至關重要。

“正確通知當局和個人數據泄露可以證明組織對數據隱私和透明度的承諾，并有助于保持與消費者的信任，同時還可以避免未來的處罰，”Rivera說。