4月27日,聯邦法院正式批准美國聯邦貿易委員會(FTC)和Facebook之間的用戶個人隱私問題和解協議,Facebook認罰50億美元。2019年7月,FTC在對Facebook和劍橋分析公司濫用用戶數據事件進行長期調查後,就相關問題達成了和解協議。
這場和解可以說是具有里程碑的意義,50億美元是有史以來對侵犯隱私科技公司的最高罰款,遠遠超過2012年穀歌的2200萬美元,或者其他隱私罰款。同時,對於美國聯邦委員會來說這也是有史以來最大的一筆罰款。
該和解協議除了罰款還包含其他條款,比如增加隱私措施,並提供季度報告來證明遵守隱私協議。除此以外,Facebook還同意成立一個專門的隱私委員會,以此來加強用戶隱私保護。
Facebook首席產品隱私官Michel Protti在公司的一篇博客文章中說:“這項和解協議已經給我們的公司帶來了根本性的變化,我們在保護人們隱私方面取得了前所未有的進步。最重要的是,它帶來了新的責任水平,並確保隱私是Facebook每個人的責任。”
協議對Facebook的業務運營增加了新限制,並建立了多種合規渠道,要求Facebook從公司董事會層面向下調整其隱私保護方法,並建立強有力的新機制,確保Facebook高管對其所作的隱私決定負責,並對這些決定進行嚴格監督。
該協議還包含以下新的隱私要求:
Facebook必須對第三方應用程序進行更嚴格的監督,包括終止無法證明自己符合Facebook平臺政策或無法證明其對特定用戶數據的合理性的應用程序開發人員;
禁止Facebook使用獲得的電話號碼來啟用廣告的安全功能(例如,兩因素身份驗證);
Facebook必須就其使用面部識別技術提供明確的通知,並在任何實質性超出其事先告知用戶的使用之前,獲得用戶明確的同意;
Facebook必須建立、實施和維護全面的數據安全計劃;
Facebook必須加密用戶密碼並定期掃描,檢測是否以明文形式存儲了任何密碼;
消費者在註冊Facebook服務時,禁止Facebook向其他服務請求電子郵件密碼。
FTC主席認為,在聯邦委員會的歷史上,50億美元的罰款是前所未有的。罰款的目的不僅在於警示未來的數據洩露行為,更重要的是改變Facebook的整個隱私文化,使其認真對待用戶隱私,希望其在法律允許的最大範圍內執行FTC的命令。
Facebook CEO Mark Zuckerberg早前曾就此協議發佈聲明,其中提及,所有高管都必須遵循隱私承諾,並設立新的隱私委員會以進行監督。同時審查技術中的隱私風險,處理任何用戶記錄風險。
FTC和Facebooks之間的糾葛可以追溯到2018年3月,Facebook處理用戶數據違反了FTC在2011年提出的一項隱私和解協議,與英國政治諮詢公司Cambridge Analytica共享了8700萬用戶的信息。而該諮詢公司利用在 Facebook 上獲得的用戶個人資料數據,來創建檔案、並在2016總統大選期間針對這些人進行定向宣傳。
2018年,洩密門事件對Facebook可以說是沉重的一擊,在事件披露之後,Facebook蒸發360億美元,股價大跌7%。隨後FTC便開展一場漫長的調查,龐大數量的用戶數據是否有被不正當使用。
2019年7月,在FTC調查Facebook是否應該採取更多措施防止劍橋分析公司竊取多達8700萬用戶的數據後,雙方達成和解。FTC和Facebok之間的和解協議,FTC以3票對2票通過,但在當時,還有兩位民主黨委員認為,這些懲罰還不夠。
如今,Facebook劍橋分析數據事件在這次法院批准、協議生效後算是塵埃落定了。這場洩密風波中,社交媒體、政治宣傳、用戶隱私和個人數據等種種因素,發揮的作用都在相互交織。
Facebok作為用戶集群的把控方,擁有海量用戶數據,卻疏於管理,英國劍橋分析公司利用這些社交媒體上的獲取的數據企圖進行政治干預,這說明數據和隱私能發揮的作用將越來越大,潛在危害也越來越大,波及的領域也將越來越廣。這必然推動法律監管的嚴格化和全面化,在法律的警鐘下,科技企業觸及用戶數據和隱私時也會越來越謹慎。
事情發展成這樣,倒黴的Facebook背了口巨大的鍋,由於未能保護用戶信息,造成隱私洩露,而付出天價的罰款。
這一方面體現了西方人對隱私的重視程度,另一方面體現了法制的嚴厲。嚴謹地探求,此事就是Facebook未經用戶許可而讓第三方獲得了用戶的私人信息,這是無法諒解的錯誤!
僅2019年,中國國內網絡數據洩露事件如下:
2019年2月,深網視界(AI安防)洩露250萬人的人臉數據。
2019年4月,國內多家企業的MongoDB和ElasticSearch服務器因暴露洩露5.9億份簡歷。
2019年4月,嗶哩嗶哩公司(B站)後臺源碼洩露涉及眾多用戶密碼。
2019年7月,智能家居公司歐瑞博(Orvibo)的數據庫洩露涉及超過 20 億條IoT日誌。
2019年9月,國內醫療PACS服務器洩露涉及中國近28萬條患者記錄。
此外,各種郵箱、社交網絡等等,都有數據洩露的問題,更何況那些拐彎抹角以隱晦的手段騙取用戶信息的應用更是不計其數。
從法律層面講,我們也有明確的隱私保護條例。
在《民法總則》中,明確了個人信息的法律地位,《民法總則》第一百一十一條:自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
《消費者權益保護法》第二十九條:經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意。經營者收集、使用消費者個人信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得洩露、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施,確保信息安全,防止消費者個人信息洩露、丟失。在發生或者可能發生信息洩露、丟失的情況時,應當立即採取補救措施。
《網絡安全法》第二十二條:網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。
這些法律法規明確保障個人的隱私和信息,是禁止竊取以及被擁有其信息的機構出讓的。
Facebook洩露事件導致的50億美元罰款,對我們而言似乎只是一件與自己無關的新聞,看過熱鬧之後,企業負責人們也應該反思一下自身處境。
1、及時檢查網站程序安全,安裝程序補丁;做好網頁代碼漏洞修補,對已被入侵或掛馬的代碼及文件進行清理;
2、除了員工個人要提高防範意識,企業更應從技術上嚴加防範數據洩露。企業自建郵箱及官網系統的運維成本是相當高,而自建郵箱系統的性能和安全性對於相關技術經驗不足的企業來說,風險幾乎是不可控的。
3、企業郵箱應部署郵件加密證書全程加密傳輸,企業應當為官網部署SSL證書等,有效防止數據被竊取、篡改、確保數據的完整性,提升網絡安全性。
聲明:本網站發佈的圖片均以轉載為主,如果涉及侵權請儘快告知,我們將會在第一時間刪除。本站原創內容未經允許不得轉載,或轉載時需註明出處:GDCA數安時代
