據TechCrunch報道,Facebook的母公司Meta,因為一系列的歷史數據泄露事件,被愛爾蘭數據保護委員會(DPC)罰款1700萬歐元(約1860萬美元)。這些安全漏洞似乎影響了多達3000萬Facebook用戶,可以追溯到幾年前–Facebook在2018年向愛爾蘭監管機構披露了這些漏洞。
DPC是Meta/Facebook在歐盟的主要隱私監管機構,在2018年6月7日至2018年12月4日的6個月時間裡,它從這家科技巨頭那裡收到了不少於12個數據泄露通知,然後在2018年底開始了這項安全相關的調查。
歐盟的《通用數據保護條例》(GDPR)於2018年5月開始實施,其對數據控制者提出了法律要求,如果信息泄露可能對個人構成風險,應迅速向監管機構披露個人數據泄露情況。(最嚴重的違規事件應在72小時內通知)。
“調查研究了Meta Platforms在多大程度上遵守了GDPR第5(1)(f)、5(2)、24(1)和32(1)條關於處理與12次違規通知有關的個人數據的要求,”DPC在宣布對其Facebook調查的最終決定的新聞稿中寫道。
“作為調查的結果,DPC發現Meta Platforms違反了GDPR第5(2)和24(1)條。DPC發現,Meta Platforms未能採取適當的技術和組織措施,使其能夠隨時證明其在實踐中實施的安全措施,以保護歐盟用戶的數據,在12個個人數據泄露的情況下。”
在回應DPC的處罰的聲明中,Meta公司的發言人試圖將這一事件淡化為只是一個歷史上記錄保存不嚴的案例。該公司寫道:
這筆罰款是關於2018年的記錄保存做法,我們後來已經更新,而不是沒有保護人們的信息。我們認真對待GDPR規定的義務,並將在我們的流程繼續發展的過程中仔細考慮這一決定。
DPC宣布的處罰是愛爾蘭對Facebook本身的GDPR調查作出的第一個最終決定,因為該法規在近四年前開始應用–儘管監管機構去年確實對Facebook擁有的WhatsApp違反透明度規則的行為作出了單獨(更大)的制裁。
DPC證實,其關於Facebook調查的決定草案面臨來自其他歐盟數據保護機構的一些反對意見–這種情況也發生在早期對Twitter安全漏洞的調查中,以及對WhatsApp的透明度決定。(而在這兩個案例中,GDPR的爭端解決機制導致了比愛爾蘭提議的更高的處罰。)
DPC說,另外兩個當局對其關於Facebook的這次調查的決定草案提出了反對意見。但愛爾蘭沒有說明是否因反對意見而增加了罰款,也沒有說明是哪個部門提出反對意見(或為什麼)。
值得注意的是,這一處罰相對較小–當然這與Meta公司全球年營業額4%的理論上限(這將遠遠超過10億美元)相差甚遠。
然而,DPC在2020年底對Twitter處以更小的罰款(約55萬美元),也是由於安全漏洞通知方面的行政失誤。
雖然每個案例中出錯的地方可能有所不同,但很明顯的是,被歐盟當局評估為非故意的安全漏洞可能比系統性或公然違反規則的處罰要低。
這也說明,一系列的失誤讓Facebook受到了比Twitter更大的懲罰,因為Twitter只報告了一個漏洞。
主要代幣黑客
在2018年的六個月期間,Facebook“承認”的所有12個安全漏洞的細節並沒有被DPC在其制裁公告中列出–但在2018年9月,這家科技巨頭公開披露了一次重大黑客攻擊,它表示在黑客利用網站的安全漏洞后,至少影響了5000萬個賬戶。
Facebook隨後聲稱,實際上只有3000萬用戶的代幣在黑客攻擊中被盜。
這個漏洞可以追溯到2017年7月,它允許黑客獲得賬戶訪問代幣,這些代幣用於在用戶輸入用戶名和密碼時保持登錄狀態–這意味着被盜的代幣可以讓黑客闖入賬戶。
不過,這次重大的代幣黑客攻擊並不是這家科技巨頭在2018年唯一的安全漏洞。
2018年6月,Facebook通知用戶一個漏洞,該漏洞在上個月產生了幾天,它說這一漏洞意外地將狀態更新的建議隱私設置從用戶最後設置的任何內容改為公開 – 可能導致多達1400萬用戶與陌生人過度分享敏感的內容。
在2018年11月報告的另一個漏洞,允許任何網站從Facebook用戶的個人資料中提取信息–包括他們的“點贊”和興趣–而當事人並不知情。
同年12月晚些時候,Facebook公開披露了一個照片API漏洞,稱該漏洞讓應用開發者有太多機會接觸到多達560萬用戶的照片。
這一系列的安全漏洞緊隨劍橋分析公司的事件之後,在2018年3月,Facebook的用戶數據被從其平台上獲取,被尋求不透明地影響美國大選的特朗普競選團隊重新用於定向廣告,這使其股價蒸發了數十億美元。
劍橋分析公司的醜聞還導致世界各地的立法者和監管機構加強了對Facebook處理人們信息的審查–並最終促成了加速對數字平台進行全面審查和加強監管的行動(如英國即將出台的在線安全立法或歐盟的數字服務法案)。
但是,由於劍橋分析公司的醜聞發生在GDPR生效之前,Facebook在很大程度上逃脫了歐洲對這一特定事件的直接監管制裁。如果時機稍有不同,它現在可能會受到更大的懲罰。
英國信息專員辦公室確實就劍橋分析公司對Facebook處以50萬英鎊的罰款,這是GDPR之前的數據保護制度下可能的最高罰款。儘管Facebook對監管機構的決定提出了質疑–在同意放棄上訴和支付罰款之前,它與ICO達成了和解,但沒有承認責任。後來出現的情況是,ICO同意對該和解條款進行封殺。
劍橋分析公司醜聞發生后,Facebook聲稱它將進行全平台應用審計,以向用戶保證它正在清除不良行為者並鎖定用戶數據,但最終結果卻從未見諸報端。
從那時起,GDPR對數據濫用帶來了更嚴厲的法律制度–至少在整個歐盟(英國不再是成員國)–然而,數據醜聞和執法之間的長期拖延繼續阻礙了該法規的順利實施。
愛爾蘭在跨境案件上的廣泛記錄意味着,現在針對Facebook的單一決定不太可能緩解對其針對大型科技公司的GDPR執法速度的嚴厲批評–尤其是考慮到Facebook的其他多項調查仍未作出決定。(而且,DPC現在正被起訴在針對Google廣告技術的單獨GDPR投訴中不作為。)
因此,同樣在周二,該監管機構選擇發布一份關於其處理跨境GDPR案件的報告,這可能不是偶然。
在它選擇關注的統計數據中,有以下說法(涵蓋2018年5月25日至2021年12月31日期間)。
-
DPC收到了1150份有效的跨境投訴;969份(84%)作為主要監管機構(LSA),181份(16%)作為相關監管機構(CSA)。
-
DPC作為LSA處理的588件(61%)跨境投訴最初是向另一個監管機構提出的,然後轉到DPC。
-
自2018年5月以來,DPC作為LSA處理的所有跨境投訴中,有65%已經結束,其中2018年收到的投訴有82%,2019年有75%已經結束。
-
在DPC作為LSA處理的634宗已結案的跨境投訴中,有544宗(86%)是通過友好解決方式解決的,符合投訴人的利益。
-
72件(22%)未結案的跨境投訴與一項調查有關,將在調查結束后結案。 2018年和2019年剩下的大量未結案投訴與一項調查有關。
-
DPC作為LSA處理的所有跨境投訴中,86%的投訴僅涉及10個數據控制者。
-
DPC移交給其他歐盟/歐洲經濟區LSA(不包括英國)的投訴中,有38%已經結束。