超5亿用户个人信息被泄,Meta被爱尔兰罚近20亿

经过一年半多的调查,欧盟主要的隐私监督机构——爱尔兰数据保护委员会(DPC)向脸书母公司Meta开出了巨额罚单。

当地时间11月28日,DPC在其官网发布的声明称,因违反了欧盟《通用数据保护条例》(GDPR)中的两条规定,决定对Meta作出罚款2.65亿欧元(约合人民币19.7亿元)的行政处罚,另外要求其在规定时间内采取一系列补救措施,确保后续合规进行。委员会表示,这一决定是上周五(25日)做出的。



爱尔兰数据保护委员会声明截图

DPC对于Meta的调查始于去年4月15日,当时,美媒“商业内幕”披露,5亿多脸书用户数据被整理后上传至一个“低级黑客论坛”,其中涉及用户的电话号码、居住地址等私人信息,可被具备基本数据技能的人免费访问。

讽刺的是,这5亿多脸书用户的个人数据中,还包括扎克伯格等脸书高层的手机号码。而脸书当时给出的解释是,涉及的都是2019年的旧数据,他们已于当年8月发现并解决了该问题。

声明指出,通过调查2018年5月25日至2019年9月期间的Facebook搜索、Facebook Messenger联系人导入器和Instagram联系人导入器数据,委员会发现,Meta违反了GDPR第25条中的前两项规定。


第25条通过设计的数据保护和默认的数据保护



1.在考虑了最新水平、实施成本和处理的性质、范围、语境与目的,以及处理给自然人权利和自由带来的伤害可能性与严重性之后,控制者应当在决定处理方式时和决定处理时,应当采取合适的技术与组织措施,如假名化。并在处理中纳入必要的保障措施,以便符合本条例的要求和保护数据主体的权利。

2.控制者有责任采取适当的技术与组织措施,以保障在默认情况下,只处理某个特定处理目的所必需的个人数据。这种责任适用于收集的个人数据的数量、处理的限度,储存的期限以及可访问性。尤其需要注意的是,此类措施必须确保,在默认情况下,如果没有个体介入,个人数据不会被不特定数量的自然人所访问。


欧盟《通用数据保护条例》第25条截图

“由于数据集非常庞大,且该平台此前存在类似问题,这种情况本可即时发现,因此我们最终决定施加重大制裁,”数据保护专员海伦•迪克森(Helen Dixon)告诉爱尔兰广播电视总台(RTÉ),就欺诈、垃圾邮件、短信诈骗、网络钓鱼和失去对个人数据的控制而言,个人面临的风险相当大。

她强调,“委员会是代表所有欧盟用户进行监管。”

欧盟《通用数据保护条例》于2018年5月25日生效。最初于2012年提出,并于2015年12月获得了欧盟理事会的通过。作为统一的数据保护法,GDPR的前身是1995年的《数据保护指令》95/46/EC。

在实施后,GDPR覆盖所有28个欧盟成员国,替代各国自己的相关法律。它被视为“史上最严”的数据保护立法,企业在发生数据泄露事故的情况下可能会面临高达年收入4%的罚款。

据报道,对于这一空降巨额罚单,Meta的一位发言人周一(28日)表示,该公司正在仔细评估这一决定。

“在这段时间内,我们对系统做了修改,包括取消通过电话号码搜集用户数据的功能。”

该发言人补充说,未经授权的数据搜集是不可接受的,违反了规定,Meta将继续与同行合作,应对这一行业挑战。




值得注意的是,自2021年9月以来,爱尔兰数据保护委员会对Meta的罚款总额已累计近10亿欧元。

今年9月,Meta因旗下Instagram涉嫌不当处理儿童信息,被罚款4.05亿欧元,是根据GDPR规定对一家公司开出的第二高的罚单,仅次于2021年7月对亚马逊处以的7.46亿欧元罚款。

除此之外,2021年9月,Meta旗下的通讯软件WhatsApp因违反欧盟数据隐私法规被罚2.25亿欧元,爱尔兰数据保护委员会当时表示WhatsApp没有告知欧洲用户搜集他们数据的方式以及如何与母公司脸书共享数据。而今年3月,Meta同样因牵涉5000万用户的数据泄露被罚款1700万欧元。

推荐阅读