点击上方蓝色文字关注我们
2024年9月27日,爱尔兰数据保护委员会(DPC)宣布了对Meta Platforms Ireland Limited(MPIL)进行调查后的最终决定。该项调查于2019年4月启动,此前MPIL通知DPC其无意中将某些社交媒体用户的密码以“明文”形式(即未经加密处理)存储在其内部系统中。
2024年6月,DPC根据GDPR第60条的规定,向欧盟/欧洲经济区(EU/EEA)的其他相关监管机构提交了一份决定草案。其他相关机构未对该决定草案提出异议。
该项包括了谴责和9100万欧元的罚款决定,是由数据保护专员(Commissioners for Data Protection)Des Hogan博士和Dale Sunderland做出的,该决定于2024年9月26日通知到MPIL。
DPC在决定中记录了MPIL违反《通用数据保护条例》(GDPR)的系列行为:
根据GDPR第33(1)条,MPIL未能通知DPC关于以明文形式存储用户密码导致的个人数据泄露;
根据GDPR第33(5)条,MPIL未能记录关于以明文形式存储用户密码导致的个人数据泄露;
根据GDPR第5(1)(f)条,MPIL未能采取适当的技术或组织措施来确保用户密码的适当安全性,以防止未经授权的数据处理;
根据GDPR第32(1)条,MPIL未能实施适当的技术和组织措施以确保与风险相适应的安全级别,包括确保用户密码的持续保密性。
DPC副专员Graham Doyle评论道:“考虑到从访问此类数据的人那里产生的数据滥用风险,用户密码不应以明文形式存储。值得关注的是,本案涉及的用户密码格外敏感,因为它们可以访问用户的社交媒体账户。”
DPC将适时发布决定的完整内容和后续相关信息。
背景
2019年3月,MPIL通知DPC其无意中在内部系统中以“明文”形式存储了某些社交媒体用户的密码。此外,MPIL于2019年3月发布了该事件的相关信息。据悉,这些密码不对外公开。
2019年4月,DPC正式启动调查,旨在评估MPIL对于GDPR的遵守情况,特别是MPIL是否采取相关措施以确保数据保护的安全级别与密码处理风险相适应,以及MPIL是否履行法定义务,即在发生个人数据泄露事件时,及时记录并向DPC报告相关情况。
DPC做出的决定涉及GDPR规定的完整性和保密性原则。考虑到服务用户面临的风险和数据处理的性质等因素,GDPR要求数据控制者在处理个人数据时采取适当的安全措施。为维护数据安全,数据控制者应评估数据处理过程中固有的风险,并采取措施减轻这些风险。该项决定强调了在存储用户密码时采取此类措施的必要性。
GDPR还要求数据控制者妥善记录个人数据泄露情况,并在发生泄露时通知数据保护机构。如果个人数据泄露没有以适当和及时的方式得到解决,可能会导致诸如对个人数据失去控制等损害。因此,当数据控制者意识到发生个人数据泄露时,应按照GDPR第33条的规定,尽快通知监管机构,且不得无故拖延。
DPC做出的决定包含了以下纠正措施:
根据GDPR第58(2)(b)条的规定,发出谴责;
根据GDPR第58(2)(i)和第83条的规定,处以总计9100万欧元的行政罚款。
GDPR第60条规定了主要监管机构与其他相关监管机构之间的合作程序。
涉及文章内容转载等事宜请联系
微信公众号后台编辑:苏祺
微信公众号后台审核:上官子欣
邮箱:cptlaw@163.com
手机:13011801553
