据TechCrunch报道,Facebook的母公司Meta,因为一系列的历史数据泄露事件,被爱尔兰数据保护委员会(DPC)罚款1700万欧元(约1860万美元)。这些安全漏洞似乎影响了多达3000万Facebook用户,可以追溯到几年前--Facebook在2018年向爱尔兰监管机构披露了这些漏洞。
DPC是Meta/Facebook在欧盟的主要隐私监管机构,在2018年6月7日至2018年12月4日的6个月时间里,它从这家科技巨头那里收到了不少于12个数据泄露通知,然后在2018年底开始了这项安全相关的调查。
欧盟的《通用数据保护条例》(GDPR)于2018年5月开始实施,其对数据控制者提出了法律要求,如果信息泄露可能对个人构成风险,应迅速向监管机构披露个人数据泄露情况。(最严重的违规事件应在72小时内通知)。
“调查研究了Meta Platforms在多大程度上遵守了GDPR第5(1)(f)、5(2)、24(1)和32(1)条关于处理与12次违规通知有关的个人数据的要求,”DPC在宣布对其Facebook调查的最终决定的新闻稿中写道。
“作为调查的结果,DPC发现Meta Platforms违反了GDPR第5(2)和24(1)条。DPC发现,Meta Platforms未能采取适当的技术和组织措施,使其能够随时证明其在实践中实施的安全措施,以保护欧盟用户的数据,在12个个人数据泄露的情况下。”
在回应DPC的处罚的声明中,Meta公司的发言人试图将这一事件淡化为只是一个历史上记录保存不严的案例。该公司写道:
这笔罚款是关于2018年的记录保存做法,我们后来已经更新,而不是没有保护人们的信息。我们认真对待GDPR规定的义务,并将在我们的流程继续发展的过程中仔细考虑这一决定。
DPC宣布的处罚是爱尔兰对Facebook本身的GDPR调查作出的第一个最终决定,因为该法规在近四年前开始应用--尽管监管机构去年确实对Facebook拥有的WhatsApp违反透明度规则的行为作出了单独(更大)的制裁。
DPC证实,其关于Facebook调查的决定草案面临来自其他欧盟数据保护机构的一些反对意见--这种情况也发生在早期对Twitter安全漏洞的调查中,以及对WhatsApp的透明度决定。(而在这两个案例中,GDPR的争端解决机制导致了比爱尔兰提议的更高的处罚。)
DPC说,另外两个当局对其关于Facebook的这次调查的决定草案提出了反对意见。但爱尔兰没有说明是否因反对意见而增加了罚款,也没有说明是哪个部门提出反对意见(或为什么)。
值得注意的是,这一处罚相对较小--当然这与Meta公司全球年营业额4%的理论上限(这将远远超过10亿美元)相差甚远。
然而,DPC在2020年底对Twitter处以更小的罚款(约55万美元),也是由于安全漏洞通知方面的行政失误。
虽然每个案例中出错的地方可能有所不同,但很明显的是,被欧盟当局评估为非故意的安全漏洞可能比系统性或公然违反规则的处罚要低。
这也说明,一系列的失误让Facebook受到了比Twitter更大的惩罚,因为Twitter只报告了一个漏洞。
主要代币黑客
在2018年的六个月期间,Facebook“承认”的所有12个安全漏洞的细节并没有被DPC在其制裁公告中列出--但在2018年9月,这家科技巨头公开披露了一次重大黑客攻击,它表示在黑客利用网站的安全漏洞后,至少影响了5000万个账户。
Facebook随后声称,实际上只有3000万用户的代币在黑客攻击中被盗。
这个漏洞可以追溯到2017年7月,它允许黑客获得账户访问代币,这些代币用于在用户输入用户名和密码时保持登录状态--这意味着被盗的代币可以让黑客闯入账户。
不过,这次重大的代币黑客攻击并不是这家科技巨头在2018年唯一的安全漏洞。
2018年6月,Facebook通知用户一个漏洞,该漏洞在上个月产生了几天,它说这一漏洞意外地将状态更新的建议隐私设置从用户最后设置的任何内容改为公开 - 可能导致多达1400万用户与陌生人过度分享敏感的内容。
在2018年11月报告的另一个漏洞,允许任何网站从Facebook用户的个人资料中提取信息--包括他们的“点赞”和兴趣--而当事人并不知情。
同年12月晚些时候,Facebook公开披露了一个照片API漏洞,称该漏洞让应用开发者有太多机会接触到多达560万用户的照片。
这一系列的安全漏洞紧随剑桥分析公司的事件之后,在2018年3月,Facebook的用户数据被从其平台上获取,被寻求不透明地影响美国大选的特朗普竞选团队重新用于定向广告,这使其股价蒸发了数十亿美元。
剑桥分析公司的丑闻还导致世界各地的立法者和监管机构加强了对Facebook处理人们信息的审查--并最终促成了加速对数字平台进行全面审查和加强监管的行动(如英国即将出台的在线安全立法或欧盟的数字服务法案)。
但是,由于剑桥分析公司的丑闻发生在GDPR生效之前,Facebook在很大程度上逃脱了欧洲对这一特定事件的直接监管制裁。如果时机稍有不同,它现在可能会受到更大的惩罚。
英国信息专员办公室确实就剑桥分析公司对Facebook处以50万英镑的罚款,这是GDPR之前的数据保护制度下可能的最高罚款。尽管Facebook对监管机构的决定提出了质疑--在同意放弃上诉和支付罚款之前,它与ICO达成了和解,但没有承认责任。后来出现的情况是,ICO同意对该和解条款进行封杀。
剑桥分析公司丑闻发生后,Facebook声称它将进行全平台应用审计,以向用户保证它正在清除不良行为者并锁定用户数据,但最终结果却从未见诸报端。
从那时起,GDPR对数据滥用带来了更严厉的法律制度--至少在整个欧盟(英国不再是成员国)--然而,数据丑闻和执法之间的长期拖延继续阻碍了该法规的顺利实施。
爱尔兰在跨境案件上的广泛记录意味着,现在针对Facebook的单一决定不太可能缓解对其针对大型科技公司的GDPR执法速度的严厉批评--尤其是考虑到Facebook的其他多项调查仍未作出决定。(而且,DPC现在正被起诉在针对Google广告技术的单独GDPR投诉中不作为。)
因此,同样在周二,该监管机构选择发布一份关于其处理跨境GDPR案件的报告,这可能不是偶然。
在它选择关注的统计数据中,有以下说法(涵盖2018年5月25日至2021年12月31日期间)。
DPC收到了1150份有效的跨境投诉;969份(84%)作为主要监管机构(LSA),181份(16%)作为相关监管机构(CSA)。
DPC作为LSA处理的588件(61%)跨境投诉最初是向另一个监管机构提出的,然后转到DPC。
自2018年5月以来,DPC作为LSA处理的所有跨境投诉中,有65%已经结束,其中2018年收到的投诉有82%,2019年有75%已经结束。
在DPC作为LSA处理的634宗已结案的跨境投诉中,有544宗(86%)是通过友好解决方式解决的,符合投诉人的利益。
72件(22%)未结案的跨境投诉与一项调查有关,将在调查结束后结案。 2018年和2019年剩下的大量未结案投诉与一项调查有关。
DPC作为LSA处理的所有跨境投诉中,86%的投诉仅涉及10个数据控制者。
DPC移交给其他欧盟/欧洲经济区LSA(不包括英国)的投诉中,有38%已经结束。