9 月 6 日,“Meta 违反了 GDPR 被罚款 4 亿美元(约28亿元人民币)”的新闻迅速引爆了科技圈,数据和隐私安全问题再次成为网友议论的焦点。爱尔兰数据保护委员会(DPC)在9月2日给出上述判决,并根据欧盟《通用数据保护条例》(以下简称“GDPR”)开出的此项罚单。一旦处罚落地,这将成为迄今为止金额最大的罚单之一,也从侧面反映出欧盟打击未成年人隐私泄露的决心和力度。
其实Instagram会遭受监管部门处罚早在众人的意料之中,但是如此庞大的处罚金额却在意料之外。
早在2020年,爱尔兰数据保护委员会就开始着手调查 Instagram,原因是该公司默认将 13 岁至 17 岁儿童的账户设置为公开状态,并允许在 Instagram 上拥有商业账户的青少年公开自己的电子邮件地址和电话号码。
那时,Instagram 将遭受巨额罚款的信号就已非常明显。经过两年多时间的调查和取证,直到2022年9月2日,爱尔兰数据保护委员终于决定根据《通用数据保护条例》,开出这张巨额罚单。
事实上,欧盟一直非常重视儿童数据保护,并致力于更好地保护儿童在社交媒体、在线视频游戏和其他互联网服务上生成的数据。这也是Instagram踩雷GDPR之后,被监管机构开出了4亿美元的天价罚单。
得知罚款消息后,Meta 很快做出了回应。公司一位发言人公开表示,在整个调查过程中,meta一直都非常配合爱尔兰数据保护委员,但不能接受这笔罚款的计算方式,后续会提出上诉。
此外,发言人还强调此次调查主要是集中在一年多前更新的旧设置上,自那以后已经更新了许多新功能,以帮助保护青少年的安全及其信息隐私。任何 18岁以下的人在加入Instagram时,他们的账户都会自动设置为私人账号,所以只有他们认识的人才能看到其发布的内容,成年人不能给没有关注他们的青少年发消息。
Meta 成数据安全“老冤种”
Meta 能否上诉成功暂且不论,但是近年来 Meta 深陷数据安全的泥潭之中,想必会让扎克伯格“记忆深刻”。随着全球数据安全法律法规的收紧,Meta屡次踩中数据安全违规红线,深陷法律舆论漩涡无法自拔。爱尔兰对其开出 4 亿美元的巨额罚单,不过是 Meta 在数据安全违规问题上的一个标志性事件。
而Meta 自身对于数据安全的“漠视”,是其屡屡触及数据安全法规红线的根源。仅仅2年的时间,Meta就已经收到了多份数据安全相关罚单。
2022年3月,DPC宣布,由于Facebook的母公司Meta违反欧盟GDPR,对其处以1700万欧元的罚款。该决定是DPC在对Facebook提供的12 次数据泄露说明进行调查后作出的。DPC表示,在多次大规模个人数据泄露中,Meta未能证明其采取了适当的安全应对措施,保障欧盟用户的数据安全。
2021 年 2 月,意大利当局以 Facebook 未能遵照 2018 年 11月 该局对其的警告,终止对用户数据的不当使用,亦未发布更正声明,对其处以760万美金的罚款。然而,Meta在已经受到当局警告情况下,依旧没有中止对用户数据的不当使用,也没有采取更多的保护措施,像鸵鸟一样把头“埋在”沙土中,继续干着损害用户的事情,自然难逃惩罚。
除了在数据安全方面出现违规以外,滥用技术手段,强制收集用户数据同样是Meta经常做的事情,也是其频频遭遇处罚的原因。
2021 年 2 月,号称有史以来最大规模的隐私诉讼终于达成和解,facebook 将向其 160 万用户赔偿共计 6.5 亿美元,而这一切都要从 Facebook 滥用人脸识别技术说起。
2015年, Facebook 被指控未经用户许可通过“人脸识别”收集和存储用户面部数字扫描信息和其他生物信息。事情经过发酵,越来越多的人开始加入到诉讼的队伍中最终,Facebook 以付出 6.5 亿美元为代价,才得以从泥潭抽身。
2021 年 9 月,隶属脸书的即时通信工具 WhatsApp 又因违反欧盟 GDPR,收到 2.25 亿欧元的“巨额罚单”。DPC 认为,WhatsApp 处理用户个人信息时未能充分告知相关事项,包括如何与母公司脸书共享这些信息,由此违反了欧盟GDPR,最终被处以2.25亿欧元的罚款。此外,爱尔兰数据保护委员会要求WhatsApp进行“整改”,需根据监管要求采取一系列补救措施,以满足欧盟GDPR的规定。
追溯这两年 Meta 的数据安全违规事件,不难发现造成违规事件频频发生的本质原因是对数据使用、储存、用户隐私权限设定出现了问题。
其它科技巨头同样深陷数据安全合规的“泥潭”
互联网时代,数据就是企业“安身立命”的资本,因此数据安全问题也不会仅仅只有 Meta 会遇到,其它互联网巨头同样深陷数据安全问题漩涡中。
2019年 8 月,谷歌推出的 YouTube Kids 涉嫌收集未成年人的个人信息,更是在未经未成年父母同意的情况下使用这些信息投放特定广告,违反了《儿童在线隐私保护条例》最终不得不向美国联邦贸易委员会缴纳了 2 亿美元罚款,成为《儿童在线隐私保护条例》立法以来,刀下最大的“亡魂”。
在欧洲地区,谷歌也因数据安全等问题,成为了欧洲多个国家和部门的眼中钉,很难像以往一样自由支配用户数据。2019 年 1 月,法国以谷歌在其用户个人信息保护和数据处理上违反了欧盟《通用数据保护条例》中相关规定为由,对谷歌开出 5700 万美元罚单。
对于数据安全违规,国内的互联网不仅不能“免俗”,而且更胜一筹,会义无反顾的加入到了“违规”大军中,其中最典型的代表当属滴滴。
2021年之前提起滴滴,百姓无不拍手叫好,“掀起了出行革命”、“带来数百万就业机会”成为那几年滴滴的光鲜标签。事情很快出现了反转,2021 年 7 月 1 日,滴滴”低调“赴美上市,不但网上没有铺天盖地的消息,就连其官网都没有宣传,甚至滴滴内部员工都没发任何朋友圈,更没有微博热搜,诡异的可怕。
很快事情出现了转机,相关单位根据《中华人民共和国国家安全法、《中华人民共和国网络安全法》,以防范国家数据安全风险、维护国家安全、保障公共利益对滴滴进行网络安全审查工作。
后续的事情想来大家都有所耳闻,一年后,因滴滴违反国家法律、国家网信办对其罚款 80.26 亿,同时对滴滴 CEO 程维、总裁柳青各处人民币100万的罚款,滴滴出行神话一夜告破。
网信办对滴滴公司存在的违法行为的归纳概括:
- 违法收集用户相册截图1196.39万条;
- 过度收集用户剪切板信息和应用列表83.23亿条;
- 过度收集人脸信息1.07亿条,年龄信息5350.92万条,职业信息1633.56万条,亲情关系信息138.29万条、公司和家的地址信息1.53亿条;
- 过度收集精准位置(经纬度)信息1.67亿条;
- 过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
- 在未明确告知乘客的情况下,分析出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/旅游信息3.04亿条;
- 在乘客使用顺风车服务时频繁索取无关的“电话权限”;
- 未准确、清晰的说明用户设备信息等19项个人信息的处理目的。
随着全球数字化的程度越来越高,数据的价值也在不断攀升,用户的数据和隐私信息不再仅仅是企业牟利的原材料,而是要真真切切保护起来。这也是全球不可逆的趋势。越来越多的国家正在制定并实施自己的数据监管法规,在此基础上,企业如果继续一意孤行,违反数据安全相关法律法规体系,使用用户信息乃至隐私,必然需要付出相应的代价。
正如安全专家所说的那样,互联网曾经历“野蛮生长”的时代,但如今那个时代已经过去,各国政府显然在进行“查漏补缺”,对每一步使用“数据隐私”牟利的行为收取“代价”。
写在最后
随着信息化时代浪潮卷起,数据无可争议成为了各互联网企业最宝贵的资产,但同样数据泄露与隐私事故频发也成为企业难以解决的痛点。此外,在数据保护、使用、储存以及数据获取方式等方面,部分企业似乎出现了一些问题。如何应对数据安全问题?需要几个层面通力协作,用户、企业、社会、政府环环相扣,缺一不可。
国家制定法规,明确数据安全红线,近几年,我国陆续颁布了《数据安全法》,《网络安全法》、《个人信息保护法》等法规,再辅以特定行业、特定属性的法规,从顶层设计上,构筑数据安全防护围墙。
企业应该是数据安全保护过程中最难保障的一环,特别是大型互联网公司必定要收集、储存海量数据,这无可厚非,但是收集信息时必须依法明确告知信息所有者,若是依靠技术手段或强加条款,“偷偷摸摸”收集信息,一旦暴露必将受到重罚。
在数据信息保护上,最重要的还是“人”,只有人人树立保护数据信息的观念,注重自身信息保护,才能从根源上阻止数据信息违规事件的发生。