2026年6月15日 — 晚上8:00 隐私监管机构已命令美国运通修复五个数据系统中的安全缺陷，以防范“内部威胁”，并限制员工访问特定客户信息，以保护脆弱和高知名度的客户。隐私专员卡莉·金发现，支付巨头未能实施适当、统一的技术和组织措施来应对其员工所带来的内部安全风险。卡莉·金对美国运通作出了不利裁决。她表示，此次失误“特别重大”，因为美国运通已意识到，需要对所有前线团队进行统一的监控覆盖，之前经历过内部威胁事件。她命令美国运通向首位向监管机构提出数据安全漏洞的客户发出书面道歉，该客户为保护全球数百万客户的隐私而战斗了四年。她还要求该公司确保在员工访问或处理五个系统中的客户记录时，记录时间戳日志。然而，在她周一发布到澳大利亚信息专员办公室网站的14页裁决摘要中，金并未具体说明她给予投诉人的赔偿金额。也没有包含她可能在投诉中心五个系统以外的其他公司数据系统中识别出的任何更广泛的安全漏洞。她在一年前提出的初步观点显示，美国运通“无法对88个系统的员工访问个人信息的政策进行审计或执行”，这占其持有澳大利亚人个人信息的系统的78%。此事因投诉人是否应被要求向美国运通提供医疗报告以便公司在赔偿金额上提出意见而延误。投诉人约翰·史密斯（并非真实姓名）并未寻求经济赔偿，也不愿意在他已指控隐私侵犯的情况下向美国运通提供其敏感个人信息。此裁决还因美国运通对报告应如何编辑提出的 substantial submissions 而延误。金最终决定向双方提供完整裁决，但在委员会网站上仅发布摘要，引发人们对美国运通将不会被公开问责的担忧。委员会表示，全面公开可能会危害个人并对美国运通的网络安全造成风险，同时破坏投诉流程的公正性。但史密斯表示，他最关心的问题是保护其他持卡人的隐私，他对此次专员仅发布完整裁决摘要感到震惊。“隐私专员的最终裁决公开是显而易见的公共利益，”他表示。“秘密和掩盖没有公共利益。”“我对隐私专员发布的公共摘要未能讲述完整的故事表示深切关注。”“公众有权了解美国运通侵犯我隐私的情况及其对他人造成的严重风险。我呼吁专员发布她完整的32页裁决。”金上个月警告各方，不要根据初步报告推测最终裁决中可能的内容，并且各方在法律行动的威胁下被禁止讨论或传播结果。《先驱者报》和《时代报》未见到最终裁决的副本。在一份声明中，美国运通承认了委员会的决定。“我们认真对待此事，”该公司表示。“我们致力于保护客户信息，并负责处理个人信息，以隐私和数据保护作为重要优先事项。正如我们在整个调查过程中所做的，我们将继续与OAIC合作，并采取措施回应其建议。”美国运通表示，将向史密斯提供书面道歉。美国运通在2019年因一名员工错误访问客户账户信息而暴露于数据泄露风险，该员工显然试图进行欺诈，并在2023年，亚太地区的员工数据被一名位于印度的前员工访问。