爱尔兰资料保护主管机关昨(28)日针对数年前Meta遭人利用“资料抓取”手法、搜集5亿笔用户个人信息一案,重罚2.65亿欧元。
爱尔兰资料保护委员会(Data Protection Commission,DPC)是2021年4月着手调查一桩Meta重大资料外泄案可能违反了欧盟资料保护法GDPR,在近日完成调查并进行开罚。
2021年初第三方安全厂商发现高达106国、5.33亿笔脸书用户个人信息,遭不明人士免费发布在黑客论坛上。外泄资讯包括用户电话、脸书ID、全名、生日、住址及个人简历,有的还有电子邮件信箱。
脸书调查后说明,这事件是发生在2018年5月到2019年9月之间,有人滥用了脸书网站上联系人导入(contact importer)的功能,以软件冒充脸书App,诱使用户上传其联系人资料,再比对脸书个人公开资料页的资讯,以资料搜集(data scraping)一共截取了5.33亿笔资料。
此事引发Meta在欧洲的主管机关爱尔兰政府调查,重点在了解Meta平台Facebook Search、Facebook Contact Importer、及Instagram Contact Importer等工具是否违反了GDPR下的“设计和默认的资料保护”义务。
在欧盟其他主管机关的同意下,爱尔兰DPC 11月25日决议Meta违反了GDPR的规定,除了要求限期改善外,也处以2.65亿欧元行政罚金。
这是Meta今年第三度遭爱尔兰政府开罚。3月间Meta因2018年外泄3,000万欧盟脸书用户被罚1,860万欧元,9月又因IG允许青少年创建商业账号却默认公开了电子邮件及电话号码,该局判罚4.05亿欧元。
上周又有媒体报道,Meta旗下WhatsApp涵盖84国、近5亿用户手机号码被人于黑客论坛兜售,若报道调查属实可能又要让Meta破财。