一日内可能发布多篇推送,推荐标星⭐本号,避免错过数据合规新鲜资讯~
来源:Irish Data Protection Commission
简评:根据《爱尔兰DPC罚款仅有0.6%被支付》,“2023年,开出的总罚款达到了惊人的15.5亿欧元,其中包括对Facebook母公司Meta的12亿欧元罚款。在这些总金额中,DPC目前只收回了81.5万欧元。”不禁好奇这次能收回多少。
爱尔兰数据保护委员会对Meta处以2.51亿欧元罚款
爱尔兰数据保护委员会(以下简称“DPC”)今天(12月17日)宣布了对Meta Platforms Ireland Limited(以下简称“Meta”)进行两项调查后的最终处罚。这两项主动调查是在Meta于2018年9月报告了一起个人数据泄露事件后,由DPC发起的。
这起数据泄露影响了全球约2900万Facebook账户,其中约300万账户位于欧盟/欧洲经济区。受影响的个人数据类别包括:用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间线上的帖子、用户所属的群组以及儿童的个人数据。
这起泄露是由于未经授权的第三方在Facebook平台上利用用户令牌(user token)[1]造成的。Meta及其美国母公司在发现后不久修复了这一泄露。
[1] 用户令牌(user token)就像是一个密码标签,用来确认你是不是某个平台或工具的用户,并且控制你能否使用这个平台的特定功能,以及查看你和你朋友的个人信息。简单来说,它就是一个用来识别你是不是本人,以及能访问哪些信息的密码钥匙。
数据保护专员Des Hogan博士和Dale Sunderland做出的决定包括多项谴责和支付总额为2.51亿欧元的行政罚款。
DPC于2024年7月根据GDPR第60条的要求,向GDPR合作机制提交了一份处罚草案决定[2]。没有其他监管机构对DPC的处罚草案决定提出异议。DPC感谢相关监管机构同仁在本案中的合作与协助。
[2] GDPR第60条规范了主导监管机构与其他相关监管机构之间的合作程序。相关监管机构可以对主导监管机构的草案表示异议,无法达成一致时则EDPB介入。
DPC的最终决定记录了以下GDPR违规行为:
决定1
决定2
DPC副专员Graham Doyle评论道:
“这项执法行动突显了如果在设计和开发周期中未能内嵌数据保护要求,可能会使个人面临非常严重的风险和伤害,包括对个人的基本权利和自由构成风险。Facebook个人资料可以并且经常包含关于宗教或政治信仰、性生活或取向等信息,用户可能希望仅在特定情况下披露这些信息。通过允许未经授权的个人资料信息曝光,此次泄露背后的漏洞造成了这些类型数据被滥用的严重风险。”
DPC将在适当时候发布完整的决定和更多相关信息。
背景
导致DPC处罚的泄露源于2017年7月在Facebook平台上部署的一个视频上传功能。Facebook的“View As”功能允许用户以其他用户的角度查看自己的Facebook页面。使用此功能的用户可以结合Facebook的“生日快乐编辑器”功能调用视频上传器。
然后,视频上传器会生成一个完全授权的用户令牌,使他们能够完全访问其他用户的Facebook个人资料。用户随后可以使用该令牌利用相同的功能组合在其他账户上,允许他们访问多个用户的个人资料以及通过这些个人资料可访问的数据。
在2018年9月14日至28日之间,未经授权的人员使用脚本利用这一漏洞,获得了作为账户持有人登录全球约2900万Facebook账户的能力,其中约300万账户位于欧盟/欧洲经济区。Facebook安全人员因为视频上传活动异常增加发现这一漏洞,并很快移除了导致漏洞的功能。
