近日,meta公司因Facebook平台上的重大安全漏洞被欧盟处以2.51亿欧元(约2.63亿美元)的罚款。该漏洞在2017年至2018年间暴露,影响了全球数百万用户,特别是欧盟及欧洲经济区内的约300万用户。
这一处罚由爱尔兰数据保护委员会(DPC)根据欧盟的《通用数据保护条例》(GDPR)执行。虽然这不是meta自GDPR生效以来收到的最大罚单,但它特别引人注目,因为它是针对一个具体安全事件的严厉制裁。
事件的起因可以追溯到2017年7月,当时Facebook推出了一项新的视频上传功能,其中包含一个“以...方式查看”的特性,允许用户模拟其他用户的视角查看自己的页面。然而,这个功能存在一个设计缺陷,恶意用户可以利用这个漏洞生成用户令牌,从而完全访问其他用户的Facebook个人资料。
DPC指出,这一漏洞在2018年9月14日至9月28日期间被恶意利用,全球约有2900万个Facebook账户被未经授权的人员登录,其中大量账户位于欧盟/欧洲经济区。泄露的数据包括用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间线上的帖子、所属群组以及儿童的个人数据。
针对这一事件,DPC进行了两项调查,并发布了最终决定。第一项决定涉及meta未能及时全面报告这一重大安全事件,违反了GDPR的违规通知要求。meta因此被罚款1100万欧元。DPC指出,meta的违规通知缺乏必要的信息,且没有完整记录违规事实和补救措施。
第二项决定则针对meta在设计上未能遵守GDPR的数据保护原则,未采取适当措施保护用户数据免受意外处理。因此,meta被处以2.4亿欧元的罚款。DPC副专员Graham Doyle在声明中表示,这一执法行动凸显了在设计和开发过程中忽视数据保护要求的严重后果,可能导致个人面临重大风险和危害。
值得注意的是,这次执法行动在DPC新任领导层的领导下进行,且未受到同行当局的异议。DPC在新闻稿中感谢了欧盟/欧洲经济区监管机构的合作与协助。这也标志着DPC在执行GDPR方面可能采取更加严格和一致的立场。
meta公司对处罚做出了回应。meta发言人Emily Westcott表示,公司在发现问题后立即采取了行动,解决了问题,并主动通知了受影响的用户以及爱尔兰数据保护委员会。meta还采取了一系列行业领先的措施来保护平台上的用户。
然而,这并不是meta第一次因安全漏洞被罚款。去年9月,DPC还针对meta在2019年发生的安全漏洞做出了另一项裁决。当时,meta因将“数亿”用户密码以明文形式存储在其服务器上而被罚款9100万欧元。这些事件再次提醒了科技公司保护用户数据的重要性,以及违反数据保护法规可能面临的严重后果。
随着技术的发展和数据保护法规的加强,科技公司需要更加注重用户数据的保护。这包括在设计和开发过程中纳入数据保护要求,采取适当的技术和组织措施来防止数据泄露和滥用。只有这样,才能赢得用户的信任和支持,实现可持续发展。
监管机构也需要继续加强执法力度,确保科技公司遵守数据保护法规。通过严格的监管和处罚,可以促使科技公司更加重视用户数据的保护,提高整个行业的数据安全水平。
