21世纪经济报道记者 郭美婷 实习生 罗天恩
近日,爱尔兰数据保护委员会(DPC)宣布,由于Facebook的母公司Meta违反欧盟《通用数据保护条例》(GDPR),将对其处以1700万欧元(约合人民币1.18亿元)的罚款。
该决定是DPC在对Facebook提供的12 次数据泄露说明进行调查后作出的。DPC表示,在多次大规模个人数据泄露中,Meta未能证明其采取了适当的安全应对措施,保障欧盟用户的数据安全。
数据泄露牵扯5000万用户2018年5月,GDPR正式实施,其要求持有用户数据的公司,在遇到用户个人信息泄露并可能给个人带来风险时,应迅速向监管机构申报。
为遵循上述规定,Facebook在2018年6 月7日至12月4日之间向GDPR报告了不少于12份数据泄露通知。同年9月,Facebook公开表示,黑客利用了Facebook网站的安全漏洞,导致至少 5000 万用户的帐户可能处于危险之中。
2018年底,DPC启动对Facebook的调查,以审查其是否遵守GDPR第5条的要求,在多起数据泄露事件发生后,采取妥善的措施保障用户数据安全。
这项调查的最终结果于2022年3月15日公布。DPC决定对Meta处以 1700 万欧元(约合人民币1.18亿元)的罚款。
由于在DPC宣布制裁的公告中并未列出 Facebook 在 2018 年间 6 个月12 次安全漏洞报告的所有详细信息,因此无法得出这些安全漏洞的所造成真实的影响。而根据GDPR,违规公司最高能被处以其年收入 4% 的罚款,从财报数据上来看,本次DPC对Meta作出的罚款远低于GDPR所定下的最高金额。
面对本次处罚,一位Meta发言人试图淡化这一事件,称公司并非因为没有保护用户信息而受罚,“这次罚款是关于2018年的记录保存做法,我们后来已经更新,并非没有保护人们的信息。”发言人强调,企业认真对待GDPR的规定,并将仔细反思此次处罚决定。
Facebook因数据处理问题屡遭重罚自 2018 年 5 月以来,GDPR落地实施开启了欧洲个人数据隐私保护元年。作为负责监督GDPR 执行的爱尔兰监管机构DPC,目前已收到并结案了大量跨境投诉,其中不乏Facebook的身影。
作为拥有约 29.1 亿月活跃用户的科技公司,Facebook可以轻易连接到世界上近一半人口的生活,因此也产生了不少数据层面的法律纠纷。
2020年12月,Facebook旗下的Twitter因为未能根据GDPR及时申报和正确记录数据泄露,DPC对其处以45万欧元(约合人民币316.89万元)的罚款。
2021年9月,由于未能清楚、公开和诚实地处理用户数据,向用户说明他们的信息将如何被使用,Facebook旗下的另一家社交软件WhatsApp被DPC处以2.25亿欧元(约合人民币15.81亿元)的罚款。
2022年2月15日,Facebook的母公司Meta同意支付 9000 万美元,以了结一项持续十年的数据隐私诉讼。根据庭外和解协议,Meta除了同意支付9000万美元的索偿金额外,还将删除在用户不知情之下收集的所有数据。
Facebook还曾因数据隐私问题而创下了美国隐私保护领域内罚款最高的历史记录。因剑桥分析(Cambridge Analytica)数据泄露事件,Facebook于2019年被美国联邦贸易委员会FTC处以高达50亿美金(约合人民币318.05亿元)的罚款。FTC要求 Facebook 从公司董事会层面调整其隐私保护方法,建立新机制确保 Facebook 高管对他们做出的隐私决定负责,让这些决定受到有意义的监督。
目前,关于Facebook的多项调查仍在进行中。2022年2月25日,DPC表示,Meta旗下的脸书和Instagram从欧盟到美国的数据传输可能会在今年5月被叫停,但该决定并不会同时适用于其他大型科技公司。此前,DPC已经给Meta发布了一份关于数据传输的决定草案,预计将在4月向欧盟其他监管机构征询意见,Meta有28天的时间对此做出回应。