据BleepingComputer消息,当地时间12月17日,爱尔兰数据保护委员会(DPC)以Facebook涉嫌泄露2900万用户个人数据,违反了《通用数据保护条例(GDPR)》相关规定为由,对其母公司 Meta 处以 2.51亿欧元(约2.64亿美元)罚款。
该事件被指由未经授权的第三方对用户访问令牌的利用,导致敏感用户数据如姓名、电子邮件地址、电话号码和地理位置等被暴露,还对儿童造成了影响。尽管 Facebook 发现后立即采取了纠正措施,但该事件仍然违反了几条 GDPR 条款:
- 第 33 条第 3款:不完整的泄露通知细节——罚款 800 万欧元
- 第 33 条第 5款:对泄露事实/补救措施的记录不足——罚款 300 万欧元
- 第 25 条第 1款:未将数据保护嵌入系统设计中——罚款 1.3 亿欧元
- 第 25 条第 2款:未将数据处理限制在必要范围内——罚款 1.1 亿欧元
DPC副委员 Graham Doyle表示,此处罚突显了在设计和开发周期中未能融入数据保护要求将会给个人带来非常严重的风险和伤害,包括对个人的基本权利和自由构成风险。
对此,Meta向BleepingComputer表示,这一处罚与2018 年的数据泄露事件有关,已在确定问题后立即采取了补救措施,并主动通知了受影响的用户以及爱尔兰数据保护委员会。
近期Meta已在各地背负了多项罚款。11月4日,韩国个人信息保护委员会以违反《个人信息保护法》为由,对Meta 处以216 亿多韩元(至少1500万美元)罚款;同月,印度竞争委员会以Meta强迫 WhatsApp 用户同意与旗下其他 平台全面共享数据为由,对其开出2500 万美元罚单。
就在最近,Meta同意支付5000万澳元(约3160万美元)以了结因剑桥分析公司丑闻而进行的旷日持久的法律诉讼,该公司曾被曝未经许可保留了数百万Facebook澳大利亚用户的个人数据,并将其用于 This is Your Digital Life 应用程序,这些数据可能被滥用于政治分析。
