數據泄露與用户追蹤？數據保護機構究竟關心什麼_風聞

引 言

GDPR正式實施後，愛爾蘭的數據保護監管機構就數據保護問題對多個互聯網大廠展開了調查。近期，針對Facebook、Twitter的調查佔據了全球各大媒體頭條。下面小編就帶領大家分析這兩個備受矚目的數據保護熱點事件。

Facebook 用户數據泄露

9月末，Facebook首次向公眾披露公司的系統遭到黑客襲擊。事件經過是公司內部的工程師團隊在9月14日發現產品中的三項安全漏洞遭到黑客攻擊，在9月27日通過一系列技術手段修補了這一漏洞，並且積極向數據監管機構同步了此次數據泄露的情況。同時Facebook指出，大約5000萬用户的訪問權限因此次黑客攻擊受到了影響。然而，幾個星期後，Facebook將其認為受影響的人數減少到3000萬，理由是公司之前過高估計了此次黑客襲擊的影響範圍。即便砍掉了近半受影響用户數，但多達3000萬賬户數據泄露的事實，再次讓Facebook成為輿論焦點。

在Facebook已經確定的3000萬用户中，約有2900萬用户的重要個人信息如姓名、聯繫人等被公開。這其中約有1400萬用户的其他個人信息如性別、親友關係、家鄉、生日以及最近打卡的位置信息也被無辜截取。對於剩下的100 萬人，Facebook表示黑客掌握了他們的登陸信息後，目前還沒有顯示任何信息被訪問。為了盡力彌補這次數據泄露事件帶來的不良後果，Facebook公佈了供用户進行賬户受影響情況查詢的網站。在這個網站上，用户可以透過網站查看賬户是否受到影響以及賬户的暴露程度。此外，Facebook還向受到影響的3000萬人陸續發送消息提醒，解釋攻擊者可能訪問了哪些信息，以及他們可以採取哪些方式保護自己的數據。

10月3日，愛爾蘭數據保護監管機構正式在官網披露，開始調查Facebook泄密事件。對於遭到攻擊的原因，Facebook只是向愛爾蘭數據保護機構表示他們的內部調查仍在繼續，並且該公司將繼續採取補救措施以減輕用户的潛在風險。但是，根據《財富》網站的新聞報道，已經有匿名知情人士透露，這一起黑客攻擊事件可能是由一家不具名數字營銷公司通過發送大量垃圾郵件攻擊了Facebook的基礎軟件架構。Facebook之所以明確對外表示拒絕透露調查的具體內容，是因為美國的聯邦國家調查局也介入了這一事件並展開積極調查，同時要求 Facebook不要討論這次攻擊的可能來源。

在2018年的前三個季度，Facebook的數據安全漏洞問題已經多次見諸報端並引起用户和廣告商的不滿。對此，Facebook的創始人扎克伯格公開承諾，他們將繼續推進數據安全的保護，並將在本年底將安全團隊的人員擴大到20000人，以防止Facebook的核心業務由於數據安全問題受到影響。

Twitter 追蹤用户數據

來自倫敦大學學院的技術政策研究員邁克爾· 維爾（Michael Veale）在今年早些時候向Twitter提出了一項請求，希望實現GDPR下用户對於數據處理的知情權。他在請求裏要求Twitter提供其縮短的分享鏈接機制追蹤到了關於他的具體數據信息。但是在他發出以上請求後，Twitter以公司提供這些數據需要付出“不成比例的努力”為由拒絕了他的要求。同時，Twitter稱，使用t.co的短鏈接的目的除了通過Cookies追蹤統計用户鏈接被點擊的次數，也是公司保護用户免受惡意網站攻擊、保障用户數據安全的重要手段。

以上Twitter的理由並沒有讓維爾先生信服，他認為Twitter可能利用短鏈接追蹤並收集用户的時間戳和所使用的設備等信息，並極有可能利用這些數據計算用户的位置。隨後，他在8月份向愛爾蘭數據保護監管機構提出了針對Twitter的投訴。而就在10月13日，愛爾蘭數據保護監管機構的發言人在一份聲明中説：“在收到用户對Twitter拒絕提供數據處理詳情的投訴後，數據保護委員會已經在上週開展了一項法定調查，調查的主要內容在於確定Twitter的前述行為是否有違反GDPR的情形。許多人似乎都在好奇，GDPR鉅額的罰款名單是不是又要增加一員“猛將”，但每日郵報的分析文章指出，Twitter由於違反GDPR觸發最高罰款的可能性不高，畢竟不像前面的Facebook一直處在輿論的風口浪尖，這只是它在遵守數據隱私規則方面所遭受的第一次調查。

關注重點

愛爾蘭數據保護監管機構尚未公開調查結果，我們也不知道Facebook和Twitter這次是否會被歐洲數據保護監管機構當做“殺雞儆猴”的典型。但是根據以上披露出來的新聞事實，我們可以總結出目前監管機構在數據合規方面關心的重點：

一、個人數據的安全性問題

在Facebook事件中，監管機構應該會重點審查Facebook是否遵守了GDPR中規定的義務，即是否實施了足夠的技術和組織措施，以確保其處理的個人數據的安全性。技術保障措施包括個人數據的假名化和加密，保證數據處理系統的快速恢復；以及在組織上採取一定的措施識別和阻止數據泄露，確保數據安全以及識別和分類個人數據。同時，GDPR還要求數據的控制者和處理者謹防“數據泄露”，進一步履行數據安全保護的義務。在防止數據泄露的手段中，企業如何防止未經授權的使用或訪問，對數據保護髮揮着至關重要的作用。

二、用户對其數據享有各項權利的實現問題，比如訪問權（Access）

在針對Twitter的投訴事實裏，維爾提出Twitter不願意提供用户所需要的對數據處理的信息。 

從GDPR上看，我們認為愛爾蘭監管機構可能會重點審查數據主體權利的實現問題。GDPR一項重要的要求，就是用户有權利知道數據處理的目的，並且享有對自身數據進行管理的權利。

三、企業本身處理用户個人數據是否遵循了最小化等原則

維爾在投訴中提出，Twitter對於短鏈接在後台的追蹤等數據處理，有極大的可能已經超出了數據處理的目的所需要的限度。

在個人數據處理的相關原則部分，GDPR要求企業儘量減少處理個人數據的數量，要求企業對於個人數據的處理需要充分、相關且限制在數據處理目的所需的最小範圍內。這個被稱為“數據最小化”原則，也是Twitter在數據處理中可能被挑戰的一個方面。

啓示

愛爾蘭此番針對Facebook和Twitter的調查，為企業數據合規工作的開展上了生動又具體的一課。因此，當下把數據作為重要資產和“燃料”的互聯網企業，應該注意在數據處理上嚴格遵守“數據最小化”的處理原則，保障用户權利，並在發生數據泄露事件後採取積極措施以降低影響。另外，小編想強調的是，數據安全也是數據合規中的重要環節，是我們搭建數據合規體系最重要的支點，離開數據安全的數據合規建設將會是無源之水，無本之木。

APUS研究院

APUS旗下專注於全球互聯網發展研究的智庫平台，是面向未來移動互聯網創新變革的孵化器及加速器。