鞭牛士报道，12月17日消息，据外电报道，Meta因Facebook安全漏洞被欧盟罚款2.51亿欧元（约合2.63亿美元），该漏洞影响了数百万用户，该公司于2018年9月披露了这一情况。

爱尔兰数据保护委员会(DPC)于周二为执行欧盟的《通用数据保护条例》(GDPR)而对Meta开出的这项罚单，远非该制度五年多前生效以来Meta受到的最大一笔GDPR罚单。不过，这笔罚单值得注意，因为这是针对单一安全事件的严厉处罚。

此次泄密事件可以追溯到2017年7月，当时Facebook推出了一项视频上传功能，其中包括「以...方式查看」功能，该功能可让用户以其他用户的方式查看自己的Facebook页面。

设计中的一个漏洞允许恶意行为者调用上传器以及Facebook的生日快乐作曲家功能来生成用户令牌，从而让他们可以完全访问该用户的Facebook个人资料。

根据DPC的说法，他们随后可以使用该令牌在其他帐户上利用相同的功能组合，从而获得对多个用户的个人资料和数据的未经授权的访问权。

该监管机构表示，2018年9月14日至9月28日期间，未经授权的人员使用脚本利用此漏洞登录了全球约2900万个Facebook账户，其中约300万个账户位于欧盟/欧洲经济区。

此次泄露事件影响的个人数据包括Facebook用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间线上的帖子、他们所属的群组以及儿童的个人数据。

受影响的个人数据范围广泛可能会影响罚款的数额。

两项执法决定

周二，爱尔兰监管机构就2018年事件展开的两项调查发布了最终决定：一项决定涉及Meta的违规通知，因为GDPR要求及时全面地报告重大安全事件，而另一项决定涉及设计和默认的数据保护规则。

在这两起案件中，DPC均认定Meta侵犯了欧盟的GDPR。

全部制裁内容如下：

Meta因第一项裁决被罚款1100万欧元，DPC发现该公司的违规通知未包含其“可以且应该”提供的所有信息。它还指出，该公司没有完整记录违规事实以及为补救问题而采取的措施。

除此之外，Meta还因第二项裁决被罚款2.4亿欧元，DPC在该裁决中确认该公司在设计上违反了GDPR的数据保护原则，因为它没有采取适当的措施保护人们的数据免遭意外处理。

DPC副专员GrahamDoyle在一份声明中表示：“这一执法行动凸显了在整个设计和开发周期中未能纳入数据保护要求，可能会使个人面临非常严重的风险和危害，包括对个人基本权利和自由的风险。

“Facebook个人资料可能包含有关宗教或政治信仰、性生活或性取向等问题的信息，而且通常确实如此，以及用户可能只希望在特定情况下披露的类似问题。通过允许未经授权暴露个人资料信息，此次泄露背后的漏洞导致了滥用此类数据的严重风险。”

在DPC两位委员德斯·霍根博士和戴尔·桑德兰（今年早些时候接替委员海伦·迪克森）的领导下，该裁决的另一个值得注意的方面是，同行当局并未对爱尔兰的决定草案提出异议。

该监管机构在一份新闻稿中写道：“DPC感谢本案中欧盟/欧洲经济区监管机构的合作与协助。”

批评迪克森领导下的DPC的人指责监管机构经常对Meta和其他科技巨头执行GDPR不力。当时，监管机构针对大型科技公司的许多决策草案都遭到同行的质疑。针对Meta的许多执法行动都涉及漫长的争议程序——其中一些需要欧洲数据保护委员会做出具有约束力的决定才能结束这一过程。

因此值得注意的是，DPC称针对Meta的这项执法行动已于2024年7月作为决议草案提交给GDPR合作机制，并且安然无恙地通过了。

当被问及对处罚的回应时，Meta发言人EmilyWestcott通过电子邮件发来一份声明，公司写道：“这一决定与2018年发生的一起事件有关。我们在发现问题后立即采取行动解决问题，并主动通知受影响的用户以及爱尔兰数据保护委员会。我们采取了一系列行业领先的措施来保护我们平台上的用户。”

去年9月，DPC针对Meta于2019年发生的安全漏洞做出了另一项裁决。该公司因“数亿”用户密码以明文形式存储在其服务器上而被罚款9100万欧元。