近日,meta公司因Facebook平臺上的重大安全漏洞被歐盟處以2.51億歐元(約2.63億美元)的罰款。該漏洞在2017年至2018年間暴露,影響了全球數(shù)百萬用戶,特別是歐盟及歐洲經(jīng)濟區(qū)內(nèi)的約300萬用戶。
這一處罰由愛爾蘭數(shù)據(jù)保護委員會(DPC)根據(jù)歐盟的《通用數(shù)據(jù)保護條例》(GDPR)執(zhí)行。雖然這不是meta自GDPR生效以來收到的最大罰單,但它特別引人注目,因為它是針對一個具體安全事件的嚴(yán)厲制裁。
事件的起因可以追溯到2017年7月,當(dāng)時Facebook推出了一項新的視頻上傳功能,其中包含一個“以...方式查看”的特性,允許用戶模擬其他用戶的視角查看自己的頁面。然而,這個功能存在一個設(shè)計缺陷,惡意用戶可以利用這個漏洞生成用戶令牌,從而完全訪問其他用戶的Facebook個人資料。
DPC指出,這一漏洞在2018年9月14日至9月28日期間被惡意利用,全球約有2900萬個Facebook賬戶被未經(jīng)授權(quán)的人員登錄,其中大量賬戶位于歐盟/歐洲經(jīng)濟區(qū)。泄露的數(shù)據(jù)包括用戶的全名、電子郵件地址、電話號碼、位置、工作地點、出生日期、宗教、性別、時間線上的帖子、所屬群組以及兒童的個人數(shù)據(jù)。
針對這一事件,DPC進行了兩項調(diào)查,并發(fā)布了最終決定。第一項決定涉及meta未能及時全面報告這一重大安全事件,違反了GDPR的違規(guī)通知要求。meta因此被罰款1100萬歐元。DPC指出,meta的違規(guī)通知缺乏必要的信息,且沒有完整記錄違規(guī)事實和補救措施。
第二項決定則針對meta在設(shè)計上未能遵守GDPR的數(shù)據(jù)保護原則,未采取適當(dāng)措施保護用戶數(shù)據(jù)免受意外處理。因此,meta被處以2.4億歐元的罰款。DPC副專員Graham Doyle在聲明中表示,這一執(zhí)法行動凸顯了在設(shè)計和開發(fā)過程中忽視數(shù)據(jù)保護要求的嚴(yán)重后果,可能導(dǎo)致個人面臨重大風(fēng)險和危害。
值得注意的是,這次執(zhí)法行動在DPC新任領(lǐng)導(dǎo)層的領(lǐng)導(dǎo)下進行,且未受到同行當(dāng)局的異議。DPC在新聞稿中感謝了歐盟/歐洲經(jīng)濟區(qū)監(jiān)管機構(gòu)的合作與協(xié)助。這也標(biāo)志著DPC在執(zhí)行GDPR方面可能采取更加嚴(yán)格和一致的立場。
meta公司對處罰做出了回應(yīng)。meta發(fā)言人Emily Westcott表示,公司在發(fā)現(xiàn)問題后立即采取了行動,解決了問題,并主動通知了受影響的用戶以及愛爾蘭數(shù)據(jù)保護委員會。meta還采取了一系列行業(yè)領(lǐng)先的措施來保護平臺上的用戶。
然而,這并不是meta第一次因安全漏洞被罰款。去年9月,DPC還針對meta在2019年發(fā)生的安全漏洞做出了另一項裁決。當(dāng)時,meta因?qū)ⅰ皵?shù)億”用戶密碼以明文形式存儲在其服務(wù)器上而被罰款9100萬歐元。這些事件再次提醒了科技公司保護用戶數(shù)據(jù)的重要性,以及違反數(shù)據(jù)保護法規(guī)可能面臨的嚴(yán)重后果。
隨著技術(shù)的發(fā)展和數(shù)據(jù)保護法規(guī)的加強,科技公司需要更加注重用戶數(shù)據(jù)的保護。這包括在設(shè)計和開發(fā)過程中納入數(shù)據(jù)保護要求,采取適當(dāng)?shù)募夹g(shù)和組織措施來防止數(shù)據(jù)泄露和濫用。只有這樣,才能贏得用戶的信任和支持,實現(xiàn)可持續(xù)發(fā)展。
監(jiān)管機構(gòu)也需要繼續(xù)加強執(zhí)法力度,確保科技公司遵守數(shù)據(jù)保護法規(guī)。通過嚴(yán)格的監(jiān)管和處罰,可以促使科技公司更加重視用戶數(shù)據(jù)的保護,提高整個行業(yè)的數(shù)據(jù)安全水平。
