澳隐私监管部门起诉Medibank，指其违反国家隐私法案

据《悉尼晨锋报》报道，澳洲隐私监管机构正在起诉医疗保险巨头Medibank，指控该公司违反了国家隐私法案，使其客户面临身份盗窃、勒索和金融犯罪的风险。 Medibank于2022年10月发生数据泄露事件。

澳洲信息专员办公室 (OAIC) 已向联邦法院对Medibank提起民事诉讼，因为黑客攻击影响了近1000万当前和过去的Medibank客户，他们的信息在暗网上被泄露。

该监管机构指控Medibank未能采取合理措施来保护客户的个人信息免遭滥用和未经授权的访问，违反了澳洲的《隐私法》。

该公司每项违反《隐私法》第13G条的行为都可能面临高达222万澳元的处罚，该条规定“该实体反复实施干扰一个或多个个人隐私的行为或做法” ”。

澳洲代理信息专员伊丽莎白·泰德 (Elizabeth Tydd) 周三表示：“在暗网上发布个人信息可能使大量澳洲人遭受严重伤害，包括潜在的情绪困扰以及身份盗窃、敲诈勒索和金融犯罪的重大风险。我们指控Medibank未能采取合理措施来保护其持有的个人信息，考虑到其规模、资源、其处理的敏感和个人信息的性质和数量，以及在违规情况下对个人造成严重伤害的风险。我们认为 Medibank 的行为严重干扰了大量个人的隐私。”

2022年10月，犯罪分子获取了970万当前和前任Medibank客户的基本账户详细信息，以及约16万名Medibank客户、其预算部门ahm的30万名客户以及2万名国际客户的健康索赔数据。这是澳洲历史上报道的最严重的网络泄露事件之一。

在该公司拒绝支付1500万澳元赎金后，黑客在暗网上公布了敏感情况的客户索赔数据，包括堕胎、吸毒和酗酒以及精神健康障碍。

泰德表示，Medibank有责任充分收集和保存客户的敏感健康信息，在截至2022年6月的财年中，该公司创造了71亿澳元的收入和5.6亿澳元的年利润。

Medibank表示打算为诉讼进行辩护。

该公司还面临Maurice Blackburn律师事务所提起的集体诉讼。

俄罗斯男子Aleksandr Ermakov此前已被澳洲政府指定为2022年黑客攻击的负责人，据报道，他于2月份在俄罗斯被拘留。一月份，澳洲政府首次使用新的网络法对他实施经济制裁。

隐私专员卡莉·金德(Carly Kind)周三称此案为澳洲组织更好地投资数字防御敲响了“警钟”。她说，她的办公室收到了多起客户的个人投诉，以及Maurice Blackburn Lawyers提出的代表投诉。

“收集、使用和存储个人信息的组织负有相当大的责任，确保数据得到安全可靠的保存。当涉及敏感数据时尤其如此，此案应该为澳洲企业敲响警钟，要求他们投资数字防御，以应对不断变化的网络环境的挑战。组织有道德和法律义务来保护他们所委托的个人信息，并有责任保证其安全。”

澳洲第二大电信公司Optus也因其2022年数据泄露事件而面临联邦法院诉讼。通信监管机构ACMA于5月向法院提交了文件。Optus表示将为诉讼进行辩护。

与Medibank类似，Optus的数据泄露事件影响了近1000万客户，并使该公司面临集体诉讼和隐私调查。

过去一周，票务公司Ticketmaster和Ticketek也都遭受了数据泄露的打击，网络安全专家警告称，这已成为影响澳洲企业的定期网络攻击的“新常态”。