愛爾蘭資料保護委員會|來源
網路訴訟圈|轉載
當地時間12月17日,愛爾蘭資料保護委員會(DPC)在對Meta Platforms Ireland Limited(“MPIL”)進行兩次調查後,宣佈了其最終決定。這兩次主動調查是由DPC在2018年9月MPIL報告的個人資料洩露後發起的。
這次資料洩露影響了全球約2900萬個Facebook帳戶,其中約300萬個位於歐盟/歐洲經濟區。受影響的個人資料類別包括:使用者的全名;電子郵件地址;電話號碼;位置;工作地點;出生日期;宗教;性別;時間線上的帖子;使用者是其成員的組;以及兒童的個人資料。漏洞源於未經授權的第三方在Facebook平臺上利用使用者令牌[1 使用者令牌是一種編碼識別符號,可用於驗證平臺或實用程式的使用者,並控制對特定平臺功能以及使用者及其聯絡人的個人資料的訪問]。洩露事件在發現後不久,MPIL及其美國母公司就得到了補救。
資料保護專員Des Hogan博士和Dale Sunderland做出了包括訓斥和支付總額為2.51億歐元(約合人民幣19億元)的行政罰款的命令。
根據GDPR第60條的要求,DPC於2024年9月向GDPR合作機制提交了一份決定草案[2 GDPR 第 60 條規定了牽頭監管機構與其他有關監管機構之間的合作程式]。沒有人對DPC的決定草案提出異議。DPC感謝其同行的歐盟/歐洲經濟區監管機構在此案中的合作和援助。
01
調查結果
DPC的最終決定記錄了以下違反GDPR的調查結果:
決定1
GDPR第33(3)條-透過不在其違約通知中包括該條款要求的所有資訊,它本可以而且應該包含。DPC斥責了MPIL未能達到這一規定,並命令其支付800萬歐元的行政罰款。
GDPR第33條第5款-未能記錄與每次違規行為有關的事實,為補救這些事實而採取的步驟,並以允許監管機構核實合規性的方式這樣做。DPC斥責了MPIL未能達到這一規定,並命令其支付300萬歐元的行政罰款。
決定2
GDPR第25(1)條-未能確保在設計處理系統時保護資料保護原則。DPC發現MPIL違反了這一規定,訓斥了MPIL,並命令其支付1.3億歐元的行政罰款。
第25(2)條-未能履行其作為控制者的義務,確保預設情況下,僅處理特定目的所需的個人資料。DPC發現MPIL違反了這些規定,訓斥了MPIL,並命令其支付1.1億歐元的行政罰款。
02
案件背景
導致 DPC 做出決定的漏洞源於 2017 年 7 月在 Facebook 平臺上部署的影片上傳功能。Facebook 的“檢視方式”功能允許使用者以其他使用者的方式檢視自己的 Facebook 頁面。使用此功能的使用者可以結合 Facebook 的“生日快樂作曲家”功能呼叫影片上傳器。然後,影片上傳器將生成一個完全授權的使用者令牌,該令牌授予他們對該其他使用者的 Facebook 個人資料的完全訪問許可權。然後,使用者可以使用該令牌在其他帳戶上利用相同的功能組合,從而允許他們訪問多個使用者的個人資料以及透過這些個人資料可訪問的資料。2018 年 9 月 14 日至 28 日期間,未經授權的人員使用指令碼利用此漏洞,並獲得了以帳戶持有人身份登入全球約 2900 萬個 Facebook 帳戶的能力,其中約 300 萬個位於歐盟/歐洲經濟區。Facebook 安全人員因影片上傳活動異常增加而注意到此漏洞,並在此後不久刪除了導致漏洞的功能。
DPC副專員Graham Doyle評論道:
“這項執法行動凸顯了在整個設計和開發週期未能建立資料保護要求,可能會使個人面臨非常嚴重的風險和傷害,包括對個人基本權利和自由的風險。Facebook個人資料可以而且通常包含有關宗教或政治信仰、性生活或取向等事項的資訊,以及使用者可能僅在特定情況下才希望披露的類似事項。透過允許未經授權洩露個人資料資訊,這種洩露背後的漏洞造成了濫用這些型別資料的嚴重風險。”
DPC將在適當的時候公佈完整的決定和進一步的相關資訊。
。。。。。。
全部AI及資料中譯本及資訊請加入
