超5億用户個人信息被泄，Meta被愛爾蘭罰款19.7億

【文/觀察者網 張菁娟】經過一年半多的調查，歐盟主要的隱私監督機構——愛爾蘭數據保護委員會（DPC）向臉書母公司Meta開出了鉅額罰單。

當地時間11月28日，DPC在其官網發佈的聲明稱，因違反了歐盟《通用數據保護條例》（GDPR）中的兩條規定，決定對Meta作出罰款2.65億歐元（約合人民幣19.7億元）的行政處罰，另外要求其在規定時間內採取一系列補救措施，確保後續合規進行。委員會表示，這一決定是上週五（25日）做出的。

愛爾蘭數據保護委員會聲明截圖

DPC對於Meta的調查始於去年4月15日，當時，美媒“商業內幕”披露，5億多臉書用户數據被整理後上傳至一個“低級黑客論壇”，其中涉及用户的電話號碼、居住地址等私人信息，可被具備基本數據技能的人免費訪問。

諷刺的是，這5億多臉書用户的個人數據中，還包括扎克伯格等臉書高層的手機號碼。而臉書當時給出的解釋是，涉及的都是2019年的舊數據，他們已於當年8月發現並解決了該問題。

聲明指出，通過調查2018年5月25日至2019年9月期間的Facebook搜索、Facebook Messenger聯繫人導入器和Instagram聯繫人導入器數據，委員會發現，Meta違反了GDPR第25條中的前兩項規定。

第25條通過設計的數據保護和默認的數據保護

1．在考慮了最新水平、實施成本和處理的性質、範圍、語境與目的，以及處理給自然人權利和自由帶來的傷害可能性與嚴重性之後，控制者應當在決定處理方式時和決定處理時，應當採取合適的技術與組織措施，如假名化。並在處理中納入必要的保障措施，以便符合本條例的要求和保護數據主體的權利。

2．控制者有責任採取適當的技術與組織措施，以保障在默認情況下，只處理某個特定處理目的所必需的個人數據。這種責任適用於收集的個人數據的數量、處理的限度，儲存的期限以及可訪問性。尤其需要注意的是，此類措施必須確保，在默認情況下，如果沒有個體介入，個人數據不會被不特定數量的自然人所訪問。

歐盟《通用數據保護條例》第25條截圖

“由於數據集非常龐大，且該平台此前存在類似問題，這種情況本可即時發現，因此我們最終決定施加重大制裁，”數據保護專員海倫•迪克森（Helen Dixon）告訴愛爾蘭廣播電視總枱（RTÉ），就欺詐、垃圾郵件、短信詐騙、網絡釣魚和失去對個人數據的控制而言，個人面臨的風險相當大。

她強調，“委員會是代表所有歐盟用户進行監管。”

歐盟《通用數據保護條例》於2018年5月25日生效。最初於2012年提出，並於2015年12月獲得了歐盟理事會的通過。作為統一的數據保護法，GDPR的前身是1995年的《數據保護指令》95/46/EC。

在實施後，GDPR覆蓋所有28個歐盟成員國，替代各國自己的相關法律。它被視為“史上最嚴”的數據保護立法，企業在發生數據泄露事故的情況下可能會面臨高達年收入4%的罰款。

據報道，對於這一空降鉅額罰單，Meta的一位發言人週一（28日）表示，該公司正在仔細評估這一決定。

“在這段時間內，我們對系統做了修改，包括取消通過電話號碼蒐集用户數據的功能。”

該發言人補充説，未經授權的數據蒐集是不可接受的，違反了規定，Meta將繼續與同行合作，應對這一行業挑戰。

值得注意的是，自2021年9月以來，愛爾蘭數據保護委員會對Meta的罰款總額已累計近10億歐元。

今年9月，Meta因旗下Instagram涉嫌不當處理兒童信息，被罰款4.05億歐元，是根據GDPR規定對一家公司開出的第二高的罰單，僅次於2021年7月對亞馬遜處以的7.46億歐元罰款。

除此之外，2021年9月，Meta旗下的通訊軟件WhatsApp因違反歐盟數據隱私法規被罰2.25億歐元，愛爾蘭數據保護委員會當時表示WhatsApp沒有告知歐洲用户蒐集他們數據的方式以及如何與母公司臉書共享數據。而今年3月，Meta同樣因牽涉5000萬用户的數據泄露被罰款1700萬歐元。

本文系觀察者網獨家稿件，未經授權，不得轉載。