9月6日,“Meta 违反了 GDPR 被罚款 4 亿美元(约28亿元人民币)”的新闻迅速引爆了科技圈,数据和隐私安全问题再次成为网友议论的焦点。爱尔兰数据保护委员会(DPC)在9月2日给出上述判决,并根据欧盟《通用数据保护条例》(以下简称“GDPR”)开出的此项罚单。一旦处罚落地,这将成为迄今为止金额最大的罚单之一,也从侧面反映出欧盟打击未成年人隐私泄露的决心和力度。
其实Instagram会遭受监管部门处罚早在众人的意料之中,但是如此庞大的处罚金额却在意料之外。
早在2020年,爱尔兰数据保护委员会就开始着手调查Instagram,原因是该公司默认将13岁至17岁儿童的账户设置为公开状态,并允许在Instagram上拥有商业账户的青少年公开自己的电子邮件地址和电话号码。
那时,Instagram 将遭受巨额罚款的信号就已非常明显。经过两年多时间的调查和取证,直到2022年9月2日,爱尔兰数据保护委员终于决定根据《通用数据保护条例》,开出这张巨额罚单。
事实上,欧盟一直非常重视儿童数据保护,并致力于更好地保护儿童在社交媒体、在线视频游戏和其他互联网服务上生成的数据。这也是Instagram踩雷GDPR之后,被监管机构开出了4亿美元的天价罚单。
得知罚款消息后,Meta很快做出了回应。公司一位发言人公开表示,在整个调查过程中,meta一直都非常配合爱尔兰数据保护委员,但不能接受这笔罚款的计算方式,后续会提出上诉。
此外,发言人还强调此次调查主要是集中在一年多前更新的旧设置上,自那以后已经更新了许多新功能,以帮助保护青少年的安全及其信息隐私。任何18岁以下的人在加入Instagram时,他们的账户都会自动设置为私人账号,所以只有他们认识的人才能看到其发布的内容,成年人不能给没有关注他们的青少年发消息。
Meta 成数据安全“老冤种”
Meta能否上诉成功暂且不论,但是近年来Meta深陷数据安全的泥潭之中,想必会让扎克伯格“记忆深刻”。随着全球数据安全法律法规的收紧,Meta屡次踩中数据安全违规红线,深陷法律舆论漩涡无法自拔。爱尔兰对其开出4亿美元的巨额罚单,不过是Meta在数据安全违规问题上的一个标志性事件。
而Meta自身对于数据安全的“漠视”,是其屡屡触及数据安全法规红线的根源。仅仅2年的时间,Meta就已经收到了多份数据安全相关罚单。
2022年3月,DPC宣布,由于Facebook的母公司Meta违反欧盟GDPR,对其处以1700万欧元的罚款。该决定是DPC在对Facebook提供的12次数据泄露说明进行调查后作出的。DPC表示,在多次大规模个人数据泄露中,Meta未能证明其采取了适当的安全应对措施,保障欧盟用户的数据安全。
2021年2月,意大利当局以Facebook未能遵照2018年11月该局对其的警告,终止对用户数据的不当使用,亦未发布更正声明,对其处以760万美金的罚款。然而,Meta在已经受到当局警告情况下,依旧没有中止对用户数据的不当使用,也没有采取更多的保护措施,像鸵鸟一样把头“埋在”沙土中,继续干着损害用户的事情,自然难逃惩罚。
除了在数据安全方面出现违规以外,滥用技术手段,强制收集用户数据同样是Meta经常做的事情,也是其频频遭遇处罚的原因。
2021年2月,号称有史以来最大规模的隐私诉讼终于达成和解,facebook将向其160万用户赔偿共计6.5亿美元,而这一切都要从Facebook滥用人脸识别技术说起。
2015年, Facebook被指控未经用户许可通过“人脸识别”收集和存储用户面部数字扫描信息和其他生物信息。事情经过发酵,越来越多的人开始加入到诉讼的队伍中最终,Facebook以付出6.5亿美元为代价,才得以从泥潭抽身。
2021年9月,隶属脸书的即时通信工具WhatsApp又因违反欧盟GDPR,收到2.25亿欧元的“巨额罚单”。DPC认为,WhatsApp处理用户个人信息时未能充分告知相关事项,包括如何与母公司脸书共享这些信息,由此违反了欧盟GDPR,最终被处以2.25亿欧元的罚款。此外,爱尔兰数据保护委员会要求WhatsApp进行“整改”,需根据监管要求采取一系列补救措施,以满足欧盟GDPR的规定。
追溯这两年Meta的数据安全违规事件,不难发现造成违规事件频频发生的本质原因是对数据使用、储存、用户隐私权限设定出现了问题。
其它科技巨头同样深陷数据安全合规的“泥潭”
互联网时代,数据就是企业“安身立命”的资本,因此数据安全问题也不会仅仅只有Meta会遇到,其它互联网巨头同样深陷数据安全问题漩涡中。
2019年8月,谷歌推出的YouTube Kids涉嫌收集未成年人的个人信息,更是在未经未成年父母同意的情况下使用这些信息投放特定广告,违反了《儿童在线隐私保护条例》最终不得不向美国联邦贸易委员会缴纳了2亿美元罚款,成为《儿童在线隐私保护条例》立法以来,刀下最大的“亡魂”。
在欧洲地区,谷歌也因数据安全等问题,成为了欧洲多个国家和部门的眼中钉,很难像以往一样自由支配用户数据。2019年1月,法国以谷歌在其用户个人信息保护和数据处理上违反了欧盟《通用数据保护条例》中相关规定为由,对谷歌开出5700万美元罚单。
对于数据安全违规,国内的互联网不仅不能“免俗”,而且更胜一筹,会义无反顾的加入到了“违规”大军中,其中最典型的代表当属滴滴。
2021年之前提起滴滴,百姓无不拍手叫好,“掀起了出行革命”“带来数百万就业机会”成为那几年滴滴的光鲜标签。事情很快出现了反转,2021年7月1日,滴滴”低调“赴美上市,不但网上没有铺天盖地的消息,就连其官网都没有宣传,甚至滴滴内部员工都没发任何朋友圈,更没有微博热搜,诡异的可怕。
很快事情出现了转机,相关单位根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,以防范国家数据安全风险、维护国家安全、保障公共利益对滴滴进行网络安全审查工作。
后续的事情想来大家都有所耳闻,一年后,因滴滴违反国家法律、国家网信办对其罚款 80.26 亿,同时对滴滴CEO程维、总裁柳青各处人民币100万的罚款,滴滴出行神话一夜告破。
网信办对滴滴公司存在的违法行为的归纳概括:
违法收集用户相册截图1196.39万条;
过度收集用户剪切板信息和应用列表83.23亿条;
过度收集人脸信息1.07亿条,年龄信息5350.92万条,职业信息1633.56万条,亲情关系信息138.29万条、公司和家的地址信息1.53亿条;
过度收集精准位置(经纬度)信息1.67亿条;
过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
在未明确告知乘客的情况下,分析出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/旅游信息3.04亿条;
在乘客使用顺风车服务时频繁索取无关的“电话权限”;
未准确、清晰的说明用户设备信息等19项个人信息的处理目的。
随着全球数字化的程度越来越高,数据的价值也在不断攀升,用户的数据和隐私信息不再仅仅是企业牟利的原材料,而是要真真切切保护起来。这也是全球不可逆的