爱尔兰数据保护委员会|来源
网络诉讼圈|转载
当地时间12月17日,爱尔兰数据保护委员会(DPC)在对Meta Platforms Ireland Limited(“MPIL”)进行两次调查后,宣布了其最终决定。这两次主动调查是由DPC在2018年9月MPIL报告的个人数据泄露后发起的。
这次数据泄露影响了全球约2900万个Facebook帐户,其中约300万个位于欧盟/欧洲经济区。受影响的个人数据类别包括:用户的全名;电子邮件地址;电话号码;位置;工作地点;出生日期;宗教;性别;时间线上的帖子;用户是其成员的组;以及儿童的个人数据。漏洞源于未经授权的第三方在Facebook平台上利用用户令牌[1 用户令牌是一种编码标识符,可用于验证平台或实用程序的用户,并控制对特定平台功能以及用户及其联系人的个人数据的访问]。泄露事件在发现后不久,MPIL及其美国母公司就得到了补救。
数据保护专员Des Hogan博士和Dale Sunderland做出了包括训斥和支付总额为2.51亿欧元(约合人民币19亿元)的行政罚款的命令。
根据GDPR第60条的要求,DPC于2024年9月向GDPR合作机制提交了一份决定草案[2 GDPR 第 60 条规定了牵头监管机构与其他有关监管机构之间的合作程序]。没有人对DPC的决定草案提出异议。DPC感谢其同行的欧盟/欧洲经济区监管机构在此案中的合作和援助。
01
调查结果
DPC的最终决定记录了以下违反GDPR的调查结果:
决定1
GDPR第33(3)条-通过不在其违约通知中包括该条款要求的所有信息,它本可以而且应该包含。DPC斥责了MPIL未能达到这一规定,并命令其支付800万欧元的行政罚款。
GDPR第33条第5款-未能记录与每次违规行为有关的事实,为补救这些事实而采取的步骤,并以允许监管机构核实合规性的方式这样做。DPC斥责了MPIL未能达到这一规定,并命令其支付300万欧元的行政罚款。
决定2
GDPR第25(1)条-未能确保在设计处理系统时保护数据保护原则。DPC发现MPIL违反了这一规定,训斥了MPIL,并命令其支付1.3亿欧元的行政罚款。
第25(2)条-未能履行其作为控制者的义务,确保默认情况下,仅处理特定目的所需的个人数据。DPC发现MPIL违反了这些规定,训斥了MPIL,并命令其支付1.1亿欧元的行政罚款。
02
案件背景
导致 DPC 做出决定的漏洞源于 2017 年 7 月在 Facebook 平台上部署的视频上传功能。Facebook 的“查看方式”功能允许用户以其他用户的方式查看自己的 Facebook 页面。使用此功能的用户可以结合 Facebook 的“生日快乐作曲家”功能调用视频上传器。然后,视频上传器将生成一个完全授权的用户令牌,该令牌授予他们对该其他用户的 Facebook 个人资料的完全访问权限。然后,用户可以使用该令牌在其他帐户上利用相同的功能组合,从而允许他们访问多个用户的个人资料以及通过这些个人资料可访问的数据。2018 年 9 月 14 日至 28 日期间,未经授权的人员使用脚本利用此漏洞,并获得了以帐户持有人身份登录全球约 2900 万个 Facebook 帐户的能力,其中约 300 万个位于欧盟/欧洲经济区。Facebook 安全人员因视频上传活动异常增加而注意到此漏洞,并在此后不久删除了导致漏洞的功能。
DPC副专员Graham Doyle评论道:
“这项执法行动凸显了在整个设计和开发周期未能建立数据保护要求,可能会使个人面临非常严重的风险和伤害,包括对个人基本权利和自由的风险。Facebook个人资料可以而且通常包含有关宗教或政治信仰、性生活或取向等事项的信息,以及用户可能仅在特定情况下才希望披露的类似事项。通过允许未经授权泄露个人资料信息,这种泄露背后的漏洞造成了滥用这些类型数据的严重风险。”
DPC将在适当的时候公布完整的决定和进一步的相关信息。
。。。。。。
全部AI及数据中译本及资讯请加入
