因非法將個人數(shù)據(jù)從歐盟轉移到美國,Meta 被罰款13億美元,高居近期大額制裁的榜首,而另一家中國公司滴滴出行因違反該國數(shù)據(jù)保護法而被處以十位數(shù)的罰款。第三大罰款是亞馬遜在2021年因違反歐洲的通用數(shù)據(jù)保護條例(GDPR)而被罰款8.77億美元。
以下是因數(shù)據(jù)泄露或不遵守安全與隱私法律而被評估的最大罰款和處罰。
1. Meta (Facebook):13億美元
2023年5月,愛爾蘭數(shù)據(jù)保護委員會(DPC)結束了對Meta平臺愛爾蘭有限公司(“Meta Ireland”)的一項調查,該調查始于2020年8月,因違反GDPR,向這家社交媒體巨頭開出了12億歐元(即13億美元)的罰單。關于GDPR第46(1)條,愛爾蘭隱私監(jiān)管機構指責Meta Ireland在提供其Facebook服務時,未能在將個人數(shù)據(jù)從歐盟或歐洲經濟區(qū)(EEA)轉移到美國的過程中提供足夠的數(shù)據(jù)隱私保護。Meta的全球事務總裁尼克·克萊格(Nick Clegg)表示:“我們打算對決定的實質內容及其命令提出上訴,包括罰款,并將通過法院尋求暫停執(zhí)行期限。”
2. 滴滴出行:11.9億美元
中國網約車公司滴滴出行被中國網絡空間管理局罰款80.26億元人民幣(約合11.9億美元),理由是該公司違反了國家的網絡安全法、數(shù)據(jù)安全法和個人信息保護法。滴滴出行在一份聲明中表示,接受網絡安全監(jiān)管機構的決定,此決定是在對該公司長達一年的安全實踐和“涉嫌非法活動”調查后作出的。
3. 亞馬遜:8.77億美元
2021年夏季,零售巨頭亞馬遜的財務記錄顯示,盧森堡官員對其開出了7.46億歐元(當時約合8.77億美元)的罰款,原因是違反了GDPR。亞馬遜預計會對這一罰款提出上訴,一位發(fā)言人表示:“沒有發(fā)生數(shù)據(jù)泄露,也沒有客戶數(shù)據(jù)暴露給任何第三方。”提起最初數(shù)據(jù)保護投訴的法國數(shù)字權利組織La Quadrature du Net代表了10165名個人投訴人于2018年5月提出指控,稱這并不令人意外,因為其長達19頁的投訴針對的是亞馬遜在未獲得充分同意的情況下運營行為廣告系統(tǒng),而非偶發(fā)的個人數(shù)據(jù)泄露。
4. Equifax:至少5.75億美元
2017年,由于其數(shù)據(jù)庫中一個未修補的Apache Struts框架, Equifax丟失了近1.5億人的個人和財務信息。公司在發(fā)布補丁數(shù)月后未能修復一個關鍵漏洞,然后在發(fā)現(xiàn)漏洞數(shù)周后未能向公眾通報。
2019年7月,這家信用評估機構同意支付5.75億美元——可能上升至7億美元——與聯(lián)邦貿易委員會(FTC)、消費者金融保護局(CFPB)以及所有50個美國州和地區(qū)就公司“未采取合理步驟保護其網絡”達成和解。
其中3億美元將用于一個基金,為受影響的消費者提供信用監(jiān)控服務(如果初始支付不足以賠償消費者,將增加1.25億美元),1.75億美元將支付給48個州、哥倫比亞特區(qū)和波多黎各,以及1億美元將支付給消費者金融保護局(CFPB)。此外,和解還要求該公司每兩年獲得一次第三方對其信息安全程序的評估。
聯(lián)邦貿易委員會(FTC)主席喬·西蒙斯(Joe Simons)表示:“從個人信息中獲利的公司有額外的責任來保護和確保這些數(shù)據(jù)的安全。”“Equifax未采取可能防止影響約1.47億消費者的數(shù)據(jù)泄露的基本措施。”
Equifax因2017年的數(shù)據(jù)泄露在英國已被罰款50萬英鎊(約合62.5萬美元),這是GDPR實施前數(shù)據(jù)保護法1998所允許的最高罰款。
2020年,Equifax因該數(shù)據(jù)泄露事件支付了進一步的和解款項:775萬美元(加上200萬美元的法律費用)支付給美國的金融機構,以及分別向馬薩諸塞州和印第安納州支付1820萬美元和1950萬美元。
5. Meta(Facebook, Instagram):4.13億美元
在GDPR開始實施的當天(2018年5月25日),愛爾蘭數(shù)據(jù)保護委員會(DPC)對Meta在歐洲地區(qū)的數(shù)據(jù)處理操作進行了兩次調查,2023年1月宣布發(fā)現(xiàn)Meta平臺在提供其Facebook和Instagram服務時違反了GDPR。Meta Ireland因Facebook違規(guī)被罰款2.1億歐元(2.25億美元),因Instagram違規(guī)被罰款1.8億歐元(1.93億美元)。
Meta在處理Facebook和Instagram服務的數(shù)據(jù)時被發(fā)現(xiàn)違反了多條GDPR規(guī)定,包括第5條(1)款a)、第6條(1)款、第12條以及第13條(1)款c),這些違規(guī)涉及透明度和信息義務的破壞。
6. Instagram:4.03億美元
2022年9月,愛爾蘭數(shù)據(jù)保護委員會(DPC)因Instagram違反GDPR規(guī)定下的兒童隱私條款而對其處以罰款。這一長期投訴涉及未成年人的數(shù)據(jù),特別是電話號碼和電子郵件地址,這些數(shù)據(jù)在一些年輕用戶將其個人資料升級為商業(yè)賬戶以訪問分析工具(如訪客概覽)時被更公開地展示。
Instagram的所有者Meta表示計劃對該決定提出上訴。“這次調查關注的是我們一年多前就更新過的舊設置,自那以后我們已經推出了許多新功能來幫助保護青少年的安全和隱私。”一位Meta官員告訴BBC新聞。“雖然我們在整個調查過程中與DPC充分合作,但我們不同意這次罰款的計算方式,并打算對其提出上訴。”
國家防止虐待兒童協(xié)會(NSPCC)的在線兒童安全政策負責人安迪·伯羅斯(Andy Burrows)表示:“這是一次重大違規(guī),具有重要的安全保障意義,并可能對使用Instagram的兒童造成真正的傷害。這一裁決展示了有效的執(zhí)法如何保護社交媒體上的兒童,并強調了監(jiān)管已經在使兒童在線環(huán)境更安全。”
7. TikTok:3.45億歐元(3.7億美元)
2023年9月,愛爾蘭數(shù)據(jù)保護委員會(DPC)根據(jù)GDPR法律,對TikTok處以3.45億歐元(3.7億美元)的罰款,原因是侵犯了兒童數(shù)據(jù)隱私。DPC發(fā)現(xiàn)TikTok在其隱私設置方面對兒童的透明度不足,并對其數(shù)據(jù)處理方式提出了疑問。
此調查旨在審查在2020年7月31日至2020年12月31日期間,TikTok在處理涉及其平臺兒童用戶的個人數(shù)據(jù)時,其在以下方面遵守GDPR義務的程度:
1. TikTok平臺的某些設置,包括默認公開設置以及與家庭配對功能相關的設置。
2. 注冊過程中的年齡驗證。
“作為調查的一部分,DPC還審查了TTL的某些透明度義務,包括向兒童用戶提供有關默認設置的信息的程度,”IDC表示。DPC的決定于2023年9月1日通過,記錄了違反GDPR第5條(1)款(c)、(f)、第24條(1)款、第25條(1)款、(2)款、第12條(1)款、第13條(1)款(e)及第5條(1)款(a)的發(fā)現(xiàn),涉及數(shù)據(jù)安全、數(shù)據(jù)保護設計和數(shù)據(jù)處理等一系列問題。
一位社交媒體公司的發(fā)言人對媒體表示,“我們對這一決定表示尊重地不同意,特別是對所施加罰款的數(shù)額。”
8. T-Mobile:3.5億美元
2022年7月,移動通信巨頭T-Mobile宣布了一項合并的集體訴訟和解條款,此前在2021年初發(fā)生的數(shù)據(jù)泄露影響了估計7700萬人。該事件中心在于“未經授權的訪問”T-Mobile的系統(tǒng),此后部分客戶數(shù)據(jù)在一個已知的網絡犯罪論壇上被掛出出售。根據(jù)一份證券交易委員會(SEC)的文件,披露了T-Mobile將支付總計3.5億美元,以資助提交的訴訟成員的索賠、原告律師的法律費用以及管理和解的費用。該公司還承諾在2022年和2023年為數(shù)據(jù)安全及相關技術額外投入1.5億美元。
“公司預期,一旦法院批準,和解將全面解決因網絡攻擊而產生的所有索賠,適用于未選擇退出的集體訴訟成員針對所有被告的索賠,包括公司、其子公司和關聯(lián)公司以及其董事和高級職員,”文件中寫道。“該和解不包含任何被告的責任、不當行為或責任的承認。集體訴訟成員包括所有在數(shù)據(jù)泄露中個人信息受到泄露的個人,受協(xié)議中規(guī)定的某些例外情況的限制。公司認為,擬議和解的條款與處理類似類型索賠的其他和解一致,”文件補充道。
9. Meta (Facebook):2.77億美元
2022年11月,愛爾蘭數(shù)據(jù)保護委員會(DPC)因5億用戶的個人信息泄露,對Meta處以2.77億美元(2.65億歐元)的罰款。DPC于2021年4月14日啟動了這項調查,此前有報道稱一組Facebook個人數(shù)據(jù)被整理后在互聯(lián)網上公開。此次調查的范圍包括對Facebook搜索、Facebook Messenger聯(lián)系人導入工具和Instagram聯(lián)系人導入工具在Meta Platforms Ireland Limited(“MPIL”)在2018年5月25日至2019年9月期間的數(shù)據(jù)處理進行審查和評估。“這次調查的主要問題涉及遵守數(shù)據(jù)保護設計和默認的GDPR義務的合規(guī)性問題,”DPC寫道。“DPC檢查了根據(jù)GDPR第25條(涉及這一概念)實施的技術和組織措施。此次全面調查過程包括與歐盟內所有其他數(shù)據(jù)保護監(jiān)管機構的合作。這些監(jiān)管機構都同意了DPC的決定。”
該決定施加了譴責,并下達了一項命令,要求MPIL通過在特定時間范圍內采取一系列指定的補救措施,使其處理活動符合合規(guī)要求。
10. WhatsApp:2.55億美元
2021年8月,F(xiàn)acebook旗下的消息服務WhatsApp因在愛爾蘭涉及一系列GDPR跨境數(shù)據(jù)保護違規(guī)行為被罰款2.25億歐元(2.55億美元)。這次罰款是在一項始于2018年的漫長調查和執(zhí)行過程之后作出的,期間愛爾蘭數(shù)據(jù)保護委員會提出的決定和制裁被其歐洲數(shù)據(jù)保護監(jiān)管機構同行駁回,最終提交給歐洲數(shù)據(jù)保護委員會并作出裁決。指控焦點是針對WhatsApp服務的用戶和非用戶的投訴,涉及違反GDPR第12、13和14條關于透明度和數(shù)據(jù)主體信息義務的指控。
11. Home Depot:約2億美元
2014年,Home Depot卷入了迄今為止涉及銷售點(POS)系統(tǒng)的最大數(shù)據(jù)泄露事件之一,導致支付了多筆罰款和和解款。第三方的盜用憑證使攻擊者能夠進入Home Depot的網絡,提升權限,并最終侵入POS系統(tǒng)。在2014年4月至9月的五個月時間內,有超過5000萬張信用卡號和5300萬個電子郵件地址被盜。
據(jù)報道,由于這次數(shù)據(jù)泄露,Home Depot至少向信用卡公司和銀行支付了1.345億美元。此外,2016年Home Depot同意向受泄露影響的客戶支付1950萬美元,其中包括為泄露受害者提供信用監(jiān)控服務的費用。2017年,該公司同意向受泄露影響的金融機構支付額外的2500萬美元,受害者可以索賠,用以覆蓋銀行的損失。
數(shù)據(jù)泄露可能帶來長期的成本,尤其是在罰款和和解方面。2020年11月,這家零售商向46個美國州和華盛頓特區(qū)支付了進一步的1750萬美元和解款。該協(xié)議還要求Home Depot雇傭一名高資質的首席信息安全官(CISO),為關鍵人員提供安全培訓,并確保在身份和訪問、監(jiān)控以及事件響應等領域實施安全控制和政策。
12. Capital One:1.9億美元
2021年12月,Capital One同意支付1.9億美元,以和解一起針對其2019年數(shù)據(jù)泄露事件的集體訴訟,該事件影響了1億人。這起和解是在美國貨幣監(jiān)理署因同一數(shù)據(jù)泄露對Capital One罰款8000萬美元一年多后達成的(見下文)。
一名AWS的軟件工程師發(fā)動了這次攻擊,泄露了包括銀行賬戶詳情在內的信息。“雖然Capital One和AWS否認所有責任,但為了避免繼續(xù)訴訟的時間、費用和不確定性,原告和Capital One已簽署了一份包含集體和解的基本條款的協(xié)議單,如果得到本法院的批準,將完全解決原告提出的所有索賠,”一份提交給弗吉尼亞東區(qū)聯(lián)邦地區(qū)法院的文件中寫道。在一份電郵聲明中,Capital One表示,自兩年多前與聯(lián)邦當局協(xié)調宣布此事件以來,案件的關鍵事實沒有變化,黑客已被逮捕,被盜數(shù)據(jù)在被傳播或用于欺詐目的之前已被找回。“我們很高興已達成協(xié)議,將解決在美國的消費者集體訴訟,”公司補充道。
13. Uber:1.48億美元
2016年,叫車應用Uber有60萬司機和5700萬用戶賬戶被侵犯。公司沒有報告這一事件,而是支付了10萬美元給肇事者以掩蓋此次黑客攻擊。然而,這些行為使公司付出了沉重的代價。2018年,該公司因違反州數(shù)據(jù)泄露通知法被罰款1.48億美元——當時是歷史上最大的數(shù)據(jù)泄露罰款。
14. 摩根士丹利:1.2億美元(總計)
2022年1月,投資銀行和金融服務巨頭摩根士丹利同意支付6000萬美元,以解決一項與其數(shù)據(jù)安全相關的法律索賠。這項協(xié)議,如果得到曼哈頓聯(lián)邦法官的批準,將解決一起于2020年7月針對該公司提起的集體訴訟,該訴訟涉及兩次安全漏洞,影響了大約1500萬客戶的個人數(shù)據(jù)。據(jù)索賠人稱,摩根士丹利未能保護現(xiàn)有客戶和前客戶的個人身份信息(PII)。據(jù)稱,該公司在2016年和2019年報廢的數(shù)據(jù)中心設備未被有效清除數(shù)據(jù),且由于軟件缺陷,未加密的敏感數(shù)據(jù)對購買該設備的人可見。
這項擬議的索賠和解是在摩根士丹利被貨幣監(jiān)理署(OCC)就同一事件處以6000萬美元民事罰款一年多后提出的。OCC指出,摩根士丹利未能“對2016年位于美國的兩個財富管理業(yè)務數(shù)據(jù)中心的退役工作進行適當監(jiān)督。包括未能有效評估或解決與硬件退役相關的風險;未能充分評估包括選擇供應商和監(jiān)控其表現(xiàn)在內的外包退役工作的風險;未能保持對退役硬件設備上存儲的客戶數(shù)據(jù)的適當清單。”OCC補充道,2019年,銀行在退役存儲客戶數(shù)據(jù)的其他網絡設備時,經歷了類似的供應商管理控制缺陷。
摩根士丹利在最近的和解協(xié)議聲明中表示:“我們之前已就這些發(fā)生在幾年前的事件通知了所有可能受影響的客戶,并很高興能夠解決這起相關訴訟。”
15. Google Ireland:1.02億美元
2022年1月6日,Google Ireland 被法國數(shù)據(jù)保護機構CNIL罰款9000萬歐元(1.02億美元)。這次罰款與Google在歐洲分支機構在YouTube上實施cookie同意程序的方式有關。CNIL寫道:“CNIL收到了許多關于在google.fr和youtube.com網站上拒絕cookie的方式的投訴。” “2021年6月,CNIL對這些網站進行了在線調查,發(fā)現(xiàn)雖然這些網站提供了一個按鈕可以立即接受cookie,但沒有實施等效的解決方案(按鈕或其他方式)使用戶同樣容易地拒絕cookie。拒絕所有cookie需要多次點擊,而接受它們只需一次點擊。”限制性委員會認為這一過程影響了互聯(lián)網用戶的同意自由,并構成了對法國數(shù)據(jù)保護法第82條的侵犯。
企業(yè)網D1net(m.r5u5c.cn):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。