英国教育巨头培生因掩盖数据泄露被罚款 100 万美元

8月16日，美国证券交易委员会(SEC)宣布，英国跨国教育出版服务公司培生（Pearson），已就2018年数据泄露事件中披露程序处理不当的指控达成了和解。

Pearson未及时披露违规行为

据SEC宣布，Pearson公司同意支付 100 万美元的民事罚款，以解决“不承认或否认调查结果”的指控，该指控试图掩盖和淡化 2018 年发生的数据泄露事件，此次泄露事件导致美国1.3万所学校的学生和管理员登陆凭证信息泄露。

据SEC表示，Pearson于2019年7月提交的半年审查中，将该数据泄露事件称为“假想风险”，即使在数据泄露已经发生后同样如此。在同月的一份声明中，Pearson集团宣称，泄露的信息可能包括出生日期和电子邮件地址，事实上，当时Pearson公司已经知道这些记录被窃取。

SEC执法部网络部门负责人克里斯汀娜•利特曼表示: “正如该声明所发现的，Pearson选择在媒体接触到泄漏事件之前不向投资者披露这一违规行为，即使这样，Pearson还是低估了事件的性质和影响范围，夸大了公司的数据保护能力“；“随着上市公司面临日益严重的网络入侵威胁，它们必须向投资者提供有关重大网络事件的准确信息。”

媒体询问后才披露违规行为

Pearson公司于2019 年 7 月在与美国证券交易委员会沟通中表示，公司可能面临数据隐私泄露的风险。即便如此，Pearson公司也没有披露一年前发生的数据泄露事件。它在将泄露事件通知受影响的客户后，才把风险因素披露递交给美国证券交易委员会。

美国证券交易委员会在8月16日发布的声明中解释道，“Pearson公司在2019年7月26日提交给委员会的报告中，指出公司存在数据泄露的风险，但并未披露 Pearson事实上已经发生了数据泄露事件。”

2019年7月31日，在Pearson向受影响的客户发送违规通知两周后，Pearson发布了一份事先准备好的媒体声明，该声明包含泄露数据的行数和数据类型。

据美国证券交易委员会的新闻稿透露，尽管这家教育巨头在收到AIMSweb1.0安全更新后至少6个月，未能修补导致黑客入侵的关键漏洞，但仍表示公司有严格的“保护措施”来保护其客户的数据。