Facebook 所有者 Meta 及其在欧盟的主要数据保护监管机构爱尔兰数据保护委员会 (DPC) 正面临一项有趣的法律挑战,原因是去年Facebook 因一项重大数据抓取违规行为而被处以 2.65 亿欧元的罚款欧盟的通用数据保护条例 (GDPR)。
爱尔兰审查员早些时候报道的法律诉讼是由数字权利组织爱尔兰数字权利组织 (DRI) 提起的,该组织对爱尔兰监管机构没有发生安全漏洞的调查结果感到不满。相反,在 2022 年 11 月 25 日的最终决定中,DPC 针对该事件发起了一项自主调查,发现 Meta 违反了 GDPR 的设计和默认数据保护要求。因此征收罚款。
然而,由于 DPC 没有发现违反处理安全性的行为(也就是 GDPR 第 32 条),这意味着 Meta 无需通知大约 1 亿欧盟的 Facebook 用户,他们的信息被泄露,随后通过由未知的“恶意行为者”执行的 Facebook 用户数据抓取发布到在线论坛。相反,Meta 可以支付相当于其收入一小部分的罚款来平息此事。
参与违规的未知实体能够通过使用该平台提供的截至 2019 年 9 月的联系人导入器功能获取 Facebook 用户的数据。该功能的设计不安全,因为它允许大量电话号码上传——使恶意行为者能够找到与 Facebook 个人资料匹配的电话号码,并通过这种方法整理大量个人数据集,其中包括(在大多数情况下)电话号码、姓名、性别和后来被发现暴露的 Facebook ID在线。
包含关联姓名和电话号码以及社交媒体个人资料信息的数据集为欺诈者提供了 DRI 所谓的“宝库”以锁定目标人群——例如通过网络钓鱼和社会工程技术。
据估计,全球受影响的 Facebook 用户总数约为 5.33 亿——因此,此次数据抓取漏洞的欧盟部分也只是冰山一角。
在媒体去年报道数据抓取违规事件后,DRI 代表两名信息被泄露的数据主体向 DPC 投诉——这导致 DPC 在 2021 年 4 月开始了自己的自愿调查。并在发送的更新信中由 DPC 于 12 月向 DRI 提交,该监管机构写道:
根据 DPC 确定的本案事实,得出的结论是,数据并非因根据 GDPR 第 32 条审查的安全漏洞而暴露而整理,而是由于设计本身而产生的平台的相关功能。因此,由于安全没有受到侵犯,不存在第 4 条第 12 款定义的个人数据泄露,因此第 34 条不适用。
在信中,DPC 还声称:“Meta 系统的配置允许在关键时间发生此类抓取,这是 DPC 认定违反第 25 条的依据。”
因此,从本质上讲,爱尔兰监管机构的调查结果断言,Facebook 数据抓取漏洞的发生是因为 Meta 系统的设计不安全——但同时,拒绝发现用户数据因安全漏洞而暴露。因此,它没有发现违反 GDPR 定义的处理安全性——因此没有个人数据泄露,根据法规,因此,科技巨头不需要考虑是否应该通知受影响的用户它丢失了他们的个人数据.
尽管我们了解到 DPC 致 DRI 的最终结果函将于本月发送——因此监管机构尚未对后者的投诉作出最后决定(但根据其在 11 月自愿做出的决定查询,可以安全地假设物质不会有所不同)。
尽管 Meta 因这次数据抓取违规行为被罚款几亿美元,但可以说它在这里躲过了一个更大的子弹——因为它不必通知大约 1 亿欧盟用户它破坏了他们的安全并暴露了他们的数据。对于一家仅在 2021 年就赚了 33.6B 美元的公司来说,通过挖掘人们的数据将他们的注意力卖给广告商,罚款 2.75 亿美元是众所周知的“停车罚单”/做生意的成本——可以作为一项业务注销费用。
然而,声誉受损可能会驱使用户离开,从而减少对 Meta 服务的参与,这对其吸引注意力的商业模式构成了更有意义的威胁。
对 Meta 来说方便的是,这家科技巨头到目前为止已经能够将这一大规模数据抓取事件的损害控制在一些媒体报道中——以及对罚款本身的一些报道——而不是必须与每一位用户沟通由于他们的信息被抓取并暴露在网上而受到个人影响。
尽管它正在对 DPC 的执法提出上诉,但无论如何。
讨论正在爱尔兰巡回法院提起的 DRI 诉讼——针对 Meta 和 DPC,声称数据泄露的受害者“正义被剥夺”——其主席 TJ McIntyre 博士告诉 TechCrunch: “数据泄露点只是更广泛投诉的一部分,即他们没有对我们的投诉人做出全面的适当决定。关于安全漏洞的核心论点是,如果有人撬锁,但如果你一开始就懒得锁门,就说存在可通知的漏洞是没有意义的;即未能应用安全措施是一种违规行为,而不仅仅是安全措施不足。”
“从某种意义上说,是否属于应通知的数据泄露相对不重要——它不会影响存在违反职责的事实。然而,关于这一点的调查结果将有助于确定对受影响个人的责任,”他补充说。
已联系 Meta 和 DPC 就 DRI 的诉讼发表评论。
Meta 发言人拒绝置评。但据我们了解,该公司尚未收到有关 DRI 案件的任何文件或法律文件。
DPC 的副专员 Graham Doyle 发表了以下声明:
“请理解,我们不能对现在法庭审理的事项的实质内容发表评论。但是,您可能希望了解 DPC 实际上尚未就此投诉做出决定,以供参考。公认的是,DRI 在这一点上持不同的观点。”
DPC 对其针对科技巨头执行 GDPR 的方法继续招致批评,自该法规生效以来,DRI 的诉讼加入了针对它的各种法律诉讼和指控——从抱怨浪费时间和浪费资源到范围狭窄或根本不存在(即从未公开)投诉后的调查,以指责其不作为甚至指控刑事腐败的法律挑战。
它经常为自己辩护——争辩说它要处理大量的工作量,这些工作量通常涉及复杂的案件,需要充分关注正当程序,以最大限度地减少决定在上诉中被推翻的风险。
根据针对 Facebook 数据抓取漏洞的最新法律挑战所发生的情况,该诉讼可能具有比 Meta 本身更广泛的意义——与 DPC 决定的其他 GDPR 投诉相关,这些投诉取决于是否存在安全漏洞——例如DPC 自2019 年 5 月以来一直在正式考虑但仍未决定或执行的针对 Google 在实时竞价中的作用(更广泛地说,涉及整个第三方跟踪广告行业)的主要投诉。
去年,该案的投诉人起诉爱尔兰监管机构对他们称之为“有史以来最大的数据泄露事件”不采取行动。
DPC 将就该(单独的)GDPR 投诉做出什么决定还有待观察。但更广泛的一点是,如果允许设计不安全的设计草率的系统——意外地或什至潜在地、愤世嫉俗地和系统地——为数据处理者提供避免更广泛安全漏洞的途径,则可能存在 GDPR 执法漏洞的风险GDPR 下的责任。
还有一个有趣的类比可以与Cambridge Analytica Facebook 数据丑闻进行比较,该丑闻早在 2018 年就成为全球头条新闻——而 Facebook 一直极力否认这涉及用户数据泄露。然而,同样地,这是一种不安全的设计——就其开发者平台而言——导致数亿用户的数据在早期事件中绝大多数受影响用户不知情或不同意的情况下被从 Facebook 中提取出来。
Facebook 被指控实施剑桥分析公司数据盗窃的“流氓”演员是一名同意其开发商条款和条件的应用程序开发商。
2018 年,开发商亚历山大·科根 (Aleksandr Kogan) 指责该公司没有真正拥有条款和条件,因为该公司没有采取行动确保其条款得到积极执行。
这一重大的全球数据丑闻早于 GDPR 的应用——但有趣的是,如果这一事件受到欧盟监管,Facebook 将面临什么样的执法。以及爱尔兰的 DPC 是否会认为 Cambridge Analytica 是一个安全漏洞,或者只是另一个设计上的数据保护失败。
Natasha Lomas最初在TechCrunch上发布的Facebook 数据抓取漏洞引发爱尔兰 GDPR 执法诉讼
原文: https://techcrunch.com/2023/01/10/digital-rights-ireland-gdpr-lawsuit-facebook-data-scraping-breach/