爱尔兰数据保护委员会对Meta罚款9100万欧元

377
图片[1]数据安全-治理-指南爱尔兰数据保护委员会对Meta罚款9100万欧元

当地时间9月27日,爱尔兰数据保护委员会(DPC)宣布Meta Ireland处以9100万欧元(约合1.02亿美元)的罚款。原因是该公司违反了欧盟的通用数据保护条例(GDPR),无意中未加密存储了用户的密码。

这是继对Meta Platforms Ireland Limited(MPIL)进行调查之后的结果。这项调查始于2019年4月,当时MPIL通知DPC,它无意中在其内部系统中以“明文”形式存储了某些社交媒体用户的密码(即没有加密保护或加密)。

DPC在2024年6月根据GDPR第60条的要求,向欧盟/欧洲经济区的其他相关监管机构提交了一份初步决定草案。其他机构没有对初步决定提出异议。

该决定由数据保护专员Des Hogan博士和Dale Sunderland做出,并在9月26日通知了MPIL,包括警告和9100万欧元的罚款。

DPC的决定记录了以下违反GDPR的发现:

GDPR第33(1)条,因为MPIL未能通知DPC关于以明文形式存储用户密码的个人数据泄露;

Article 33(1) GDPR, as MPIL failed to notify the DPC of a personal data breach concerning storage of user passwords in plaintext;

GDPR第33(5)条,因为MPIL未能记录关于以明文形式存储用户密码的个人数据泄露;

Article 33(5) GDPR, as MPIL failed to document personal data breaches concerning the storage of user passwords in plaintext;

GDPR第5(1)(f)条,因为MPIL没有采取适当的技术或组织措施,以确保用户密码的安全,防止未经授权的处理;

Article 5(1)(f) GDPR, as MPIL did not use appropriate technical or organisational measures to ensure appropriate security of users’ passwords against unauthorised processing; and

以及 GDPR第32(1)条,因为MPIL没有实施适当的技术和组织措施,以确保与风险相适应的安全水平,包括确保用户密码的持续保密能力。

Article 32(1) GDPR, because MPIL did not implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including the ability to ensure the ongoing confidentiality of user passwords.

DPC的副专员Graham Doyle评论说:“人们普遍认为,考虑到他人访问此类数据时可能出现的滥用风险,用户密码不应以明文形式存储。必须记住,在本案中考虑的密码尤其敏感,因为它们将允许访问用户的社交媒体账户。”

DPC将在适当的时候发布完整的决定和进一步相关的信息。

背景

2019年3月,MPIL通知DPC,它无意中在其内部系统中以“明文”形式存储了某些社交媒体用户的密码(即没有加密保护或加密)。MPIL还在2019年3月发布了有关此事件的信息。这些密码没有被提供给外部方。

调查范围从2019年4月开始,评估了MPIL遵守通用数据保护条例(GDPR)的情况,特别是MPIL是否实施了措施以确保与处理密码相关的风险相适应的安全水平,以及MPIL是否遵守了记录和通知DPC个人数据泄露的义务。

DPC的这一决定涉及GDPR的完整性和保密性原则。GDPR要求数据控制者在处理个人数据时实施适当的安全措施,考虑到服务用户的风险和数据处理的性质等因素。为了维护安全,数据控制者应评估处理中固有的风险,并采取措施减轻这些风险。这一决定强调了在存储用户密码时采取此类措施的必要性。

GDPR还要求数据控制者妥善记录个人数据泄露事件,并在发生泄露时通知数据保护机构。如果个人数据泄露没有得到适当和及时的处理,可能会导致诸如失去对个人数据控制权的损害。因此,当控制者意识到发生了个人数据泄露时,控制者应立即按照GDPR第33条的规定通知监管机构。

该决定包含以下纠正措施:

根据GDPR第58(2)(b)条的警告;以及 根据GDPR第58(2)(i)条和第83条,总额为9100万欧元的行政罚款。GDPR第60条规范了主要监管机构与其他相关监管机构之间的合作程序。

参考来源:https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
视界
喜欢就支持一下吧
点赞7 分享
数据安全官的头像数据安全-治理-指南数据安全治理指南
日志留存和数据保留的监管要求数据安全-治理-指南数据安全治理指南
日志留存和数据保留的监管要求
日志留存和数据保留的监管要求
7个月前 263
重要数据安全风险评估报告模板(2024年版)数据安全-治理-指南数据安全治理指南
重要数据安全风险评估报告模板(2024年版)
重要数据安全风险评估报告模板(2024年版)
6个月前 157
网络和数据安全领域,8个重要的框架及思维方法数据安全-治理-指南数据安全治理指南
网络和数据安全领域,8个重要的框架及思维方法
网络和数据安全领域,8个重要的框架及思维方法
7个月前 132
工业领域重要数据识别指南数据安全-治理-指南数据安全治理指南
工业领域重要数据识别指南
工业领域重要数据识别指南
6个月前 121
GBT 37973-2019 《信息安全技术 大数据安全管理指南》数据安全-治理-指南数据安全治理指南
GBT 37973-2019 《信息安全技术 大数据安全管理指南》
GBT 37973-2019 《信息安全技术 大数据安全管理指南》
7个月前 116
GBT 39335-2020 《信息安全技术 个人信息安全影响评估指南》数据安全-治理-指南数据安全治理指南
GBT 39335-2020 《信息安全技术 个人信息安全影响评估指南》
GBT 39335-2020 《信息安全技术 个人信息安全影响评估指南》
7个月前 107
相关推荐
日志留存和数据保留的监管要求数据安全-治理-指南数据安全治理指南
日志留存和数据保留的监管要求
日志留存和数据保留的监管要求
7个月前 263
网络和数据安全领域,8个重要的框架及思维方法数据安全-治理-指南数据安全治理指南
网络和数据安全领域,8个重要的框架及思维方法
网络和数据安全领域,8个重要的框架及思维方法
7个月前 132
大型在线平台实施的 “同意或付费 “模式中,EDPB对GDPR中有效同意的理解数据安全-治理-指南数据安全治理指南
大型在线平台实施的 “同意或付费 “模式中,EDPB对GDPR中有效同意的理解
大型在线平台实施的 “同意或付费 “模式中,EDPB对GDPR中有效同意的理解
7个月前 98
网络安全体系建设参考案例数据安全-治理-指南数据安全治理指南
网络安全体系建设参考案例
网络安全体系建设参考案例
7个月前 38
爱尔兰数据保护委员会对Meta罚款9100万欧元数据安全-治理-指南数据安全治理指南
爱尔兰数据保护委员会对Meta罚款9100万欧元
爱尔兰数据保护委员会对Meta罚款9100万欧元
7个月前 37

近期文章

近期评论

没有评论可显示。

归档

分类