若事件發生在GDPR轄下,Facebook就要遭遇1700萬英鎊或全球營業額4%的鉅額罰款了。
英國信息專員辦公室(ICO)就劍橋分析事件給Facebook開出了50萬英鎊的最高罰款。
已取締的政治諮詢公司“劍橋分析”曾在某第三方使用 Facebook API 運行名為“這是你的數字生活”的App時,成功收穫了數百萬Facebook用戶的信息,雖然宣稱是為了學術研究用途,但確確實實是未經用戶同意便獲取了。
該 Facebook API 令那家公司不僅在用戶知情的情況下取出了調查參與者的數據,還一併獲取了用戶明顯沒同意給出的Facebook網絡上的個人信息。
2007到2014年間,Facebook的用戶個人信息處理過程很不公平,應用開發者可以不經用戶明確知情同意就獲得他們的信息。
收集到的信息包括公開資料、喜歡的頁面、生日及位置,以及新聞饋送、時間線,甚至歷史消息。
劍橋分析收集到了8700萬之多的Facebook賬戶信息,主要是美國的賬戶,然後用於心理剖析和為其客戶投放針對性政治競選廣告。
ICO在7月時便發出了一份意向通知,允許Facebook表達針對罰款數額的異議之類的訴求。如今,ICO發佈聲明,稱該罰款——遵循舊有《1998數據保護法案》開出的最高額罰款,維持不變。
10月25日的聲明中,ICO稱:ICO的調查發現,2007至2014年間,Facebook的用戶個人信息處理過程很不公平,應用開發者可以不經用戶明確知情同意就獲得他們的信息,甚至並未下載該App而只是下載了該App的用戶的‘朋友’,都未能倖免數據被收集。
聲明中還稱:因為沒恰當審查App和使用其平臺的開發者,Facebook還未能保護好用戶個人信息的安全。這造成了其中一個開發者,Aleksandr Kogan 博士及其GSR公司,在用戶不知情的情況下獲取了全球8700萬用戶的Facebook數據。
其中一部分數據後來共享給了其他一些公司,包括 SCL Group,也就是劍橋分析的母公司——涉入美國政治競選的那家。
另外,ICO表示,Facebook在發現了其API被誤用的情況和信息滲漏的嚴重程度之後,依然未作出太多動作以確保採取了補救措施。
ICO發現至少有100萬英國用戶的個人信息包含在被收集的數據中,面臨被進一步誤用的風險。
這整個非法數據處理過程中,Facebook都沒對其用戶的隱私採取了足夠的保護。這種規模和專業程度的公司理應知道得更多,也應該做得更好。
若按GDPR執法,Facebook面臨的就不是50萬英鎊,而是1700萬英鎊或全球營業額4%的鉅額罰款了。
閱讀更多 安全牛 的文章
