Facebook因2018年一系列违反欧盟GDPR的行为被罚款1860万美元
据 TechCrunch 报道,Facebook 的母公司 Meta,因为一系列的历史数据泄露事件,被爱尔兰数据保护委员会(DPC)罚款 1700 万欧元(约 1860 万美元)。这些安全漏洞似乎影响了多达 3000 万 Facebook 用户,可以追溯到几年前--Facebook 在 2018 年向爱尔兰监管机构披露了这些漏洞。
DPC 是 Meta/Facebook 在欧盟的主要隐私监管机构,在 2018 年 6 月 7 日至 2018 年 12 月 4 日的 6 个月时间里,它从这家科技巨头那里收到了不少于 12 个数据泄露通知,然后在 2018 年底开始了这项安全相关的调查。
欧盟的《通用数据保护条例》(GDPR)于 2018 年 5 月开始实施,其对数据控制者提出了法律要求,如果信息泄露可能对个人构成风险,应迅速向监管机构披露个人数据泄露情况。(最严重的违规事件应在 72 小时内通知)。
“调查研究了 Meta Platforms 在多大程度上遵守了 GDPR 第5(1)(f)、5(2)、24(1) 和 32(1) 条关于处理与 12 次违规通知有关的个人数据的要求,”DPC 在宣布对其 Facebook 调查的最终决定的新闻稿中写道。
“作为调查的结果,DPC 发现 Meta Platforms 违反了 GDPR 第5(2) 和 24(1) 条。DPC 发现,Meta Platforms 未能采取适当的技术和组织措施,使其能够随时证明其在实践中实施的安全措施,以保护欧盟用户的数据,在 12 个个人数据泄露的情况下。”
在回应 DPC 的处罚的声明中,Meta 公司的发言人试图将这一事件淡化为只是一个历史上记录保存不严的案例。该公司写道:
这笔罚款是关于 2018 年的记录保存做法,我们后来已经更新,而不是没有保护人们的信息。我们认真对待 GDPR 规定的义务,并将在我们的流程继续发展的过程中仔细考虑这一决定。
DPC 宣布的处罚是爱尔兰对 Facebook 本身的 GDPR 调查作出的第一个最终决定,因为该法规在近四年前开始应用--尽管监管机构去年确实对 Facebook 拥有的 WhatsApp 违反透明度规则的行为作出了单独(更大)的制裁。
DPC 证实,其关于 Facebook 调查的决定草案面临来自其他欧盟数据保护机构的一些反对意见--这种情况也发生在早期对 Twitter 安全漏洞的调查中,以及对 WhatsApp 的透明度决定。(而在这两个案例中,GDPR 的争端解决机制导致了比爱尔兰提议的更高的处罚。)
DPC 说,另外两个当局对其关于 Facebook 的这次调查的决定草案提出了反对意见。但爱尔兰没有说明是否因反对意见而增加了罚款,也没有说明是哪个部门提出反对意见(或为什么)。
值得注意的是,这一处罚相对较小--当然这与 Meta 公司全球年营业额4% 的理论上限(这将远远超过 10 亿美元)相差甚远。
然而,DPC 在 2020 年底对 Twitter 处以更小的罚款(约 55 万美元),也是由于安全漏洞通知方面的行政失误。
虽然每个案例中出错的地方可能有所不同,但很明显的是,被欧盟当局评估为非故意的安全漏洞可能比系统性或公然违反规则的处罚要低。
这也说明,一系列的失误让 Facebook 受到了比 Twitter 更大的惩罚,因为 Twitter 只报告了一个漏洞。
主要代币黑客
在 2018 年的六个月期间,Facebook“承认”的所有 12 个安全漏洞的细节并没有被 DPC 在其制裁公告中列出--但在 2018 年 9 月,这家科技巨头公开披露了一次重大黑客攻击,它表示在黑客利用网站的安全漏洞后,至少影响了 5000 万个账户。
Facebook 随后声称,实际上只有 3000 万用户的代币在黑客攻击中被盗。
这个漏洞可以追溯到 2017 年 7 月,它允许黑客获得账户访问代币,这些代币用于在用户输入用户名和密码时保持登录状态--这意味着被盗的代币可以让黑客闯入账户。
不过,这次重大的代币黑客攻击并不是这家科技巨头在 2018 年唯一的安全漏洞。
2018 年 6 月,Facebook 通知用户一个漏洞,该漏洞在上个月产生了几天,它说这一漏洞意外地将状态更新的建议隐私设置从用户最后设置的任何内容改为公开 - 可能导致多达 1400 万用户与陌生人过度分享敏感的内容。
在 2018 年 11 月报告的另一个漏洞,允许任何网站从 Facebook 用户的个人资料中提取信息--包括他们的“点赞”和兴趣--而当事人并不知情。
同年 12 月晚些时候,Facebook 公开披露了一个照片 API 漏洞,称该漏洞让应用开发者有太多机会接触到多达 560 万用户的照片。
这一系列的安全漏洞紧随剑桥分析公司的事件之后,在 2018 年 3 月,Facebook 的用户数据被从其平台上获取,被寻求不透明地影响美国大选的特朗普竞选团队重新用于定向广告,这使其股价蒸发了数十亿美元。
剑桥分析公司的丑闻还导致世界各地的立法者和监管机构加强了对 Facebook 处理人们信息的审查--并最终促成了加速对数字平台进行全面审查和加强监管的行动(如英国即将出台的在线安全立法或欧盟的数字服务法案)。
但是,由于剑桥分析公司的丑闻发生在 GDPR 生效之前,Facebook 在很大程度上逃脱了欧洲对这一特定事件的直接监管制裁。如果时机稍有不同,它现在可能会受到更大的惩罚。
英国信息专员办公室确实就剑桥分析公司对 Facebook 处以 50 万英镑的罚款,这是 GDPR 之前的数据保护制度下可能的最高罚款。尽管 Facebook 对监管机构的决定提出了质疑--在同意放弃上诉和支付罚款之前,它与 ICO 达成了和解,但没有承认责任。后来出现的情况是,ICO 同意对该和解条款进行封杀。
剑桥分析公司丑闻发生后,Facebook 声称它将进行全平台应用审计,以向用户保证它正在清除不良行为者并锁定用户数据,但最终结果却从未见诸报端。
从那时起,GDPR 对数据滥用带来了更严厉的法律制度--至少在整个欧盟(英国不再是成员国)--然而,数据丑闻和执法之间的长期拖延继续阻碍了该法规的顺利实施。
爱尔兰在跨境案件上的广泛记录意味着,现在针对 Facebook 的单一决定不太可能缓解对其针对大型科技公司的 GDPR 执法速度的严厉批评--尤其是考虑到 Facebook 的其他多项调查仍未作出决定。(而且,DPC 现在正被起诉在针对 Google 广告技术的单独 GDPR 投诉中不作为。)
因此,同样在周二,该监管机构选择发布一份关于其处理跨境 GDPR 案件的报告,这可能不是偶然。
在它选择关注的统计数据中,有以下说法(涵盖 2018 年 5 月 25 日至 2021 年 12 月 31 日期间)。
DPC 收到了 1150 份有效的跨境投诉;969 份(84%)作为主要监管机构(LSA),181 份(16%)作为相关监管机构(CSA)。
DPC 作为 LSA 处理的 588 件(61%)跨境投诉最初是向另一个监管机构提出的,然后转到 DPC。
自 2018 年 5 月以来,DPC 作为 LSA 处理的所有跨境投诉中,有 65% 已经结束,其中 2018 年收到的投诉有 82%,2019 年有 75% 已经结束。
在 DPC 作为 LSA 处理的 634 宗已结案的跨境投诉中,有 544 宗(86%)是通过友好解决方式解决的,符合投诉人的利益。
72 件(22%)未结案的跨境投诉与一项调查有关,将在调查结束后结案。 2018 年和 2019 年剩下的大量未结案投诉与一项调查有关。
DPC 作为 LSA 处理的所有跨境投诉中,86% 的投诉仅涉及 10 个数据控制者。
DPC 移交给其他欧盟/欧洲经济区 LSA(不包括英国)的投诉中,有 38% 已经结束。
来自: 网易科技