【必看】Facebook 被重判了，该如何避免违反 GDPR？

编译：360代码卫士团队

Facebook 被曝剑桥分析公司丑闻一事最终落下帷幕，被判违反 GDPR 法规。不过幸运的是，Facebook 公司是按照英国在2018年5月25日前实施的《数据保护法案》被判最高罚款50万英镑，而非按照 GDPR 法规实施的16亿美元罚款。

英国数据保护立法机构信息委员会办公室 (ICO) 证实了罚款消息，指出 ICO 调查发现在 2007年至2014年之间，Facebook 在未经用户充分明确并在未获得用户同意的情况下，允许应用开发人员访问用户信息，甚至访问并未下载 app 而只是下载该 app 的“好友”的用户的信息，这种处理用户信息的方式是不公正的。

这里提到的 app 是由 Aleksandr Kogan 博士及其公司 GSR 开发的，它收割了全球多达8700万名用户的数据。而大部分数据和政治活动组织机构剑桥分析公司的母公司 SCL 集团共享。ICO 调查发现，“至少100万名英国用户的个人信息被获取，从而带来进一步遭滥用的风险。”

在调查过程中，Facebook 公司表示 ICO 对此事并不具有管辖权，尽管确实和 ICO 合作。ICO 解释称，“英国用户包括（但不仅限于）在当时使用了 Facebook 网站的英国居民。英国用户也同时包括在访英期间在当时使用了 Facebook 站点的人员。由于Facebook 公司处理英国用户个人数据发生在英国的一个地方：（1）此类处理属于《数据保护法案》涵盖的范围；以及（2）信息委员会办公室在这类处理过程中对 Facebook 公司拥有管辖权。”

虽然 Facebook 公司声称在剑桥分析公司的政治活动中只使用（按照欧洲的规定，属于“滥用”）了美国公民的个人信息，但ICO 表示，“某些美国居民时不时地也被认为是英国用户（如上对“英国用户”的定义），比如，他们在访英期间使用了 Facebook 站点。”

这种对“用户”的定义原则和 GDPR 的定义一致。它强调了常被美国组织机构忽略的一个关键点：GDPR 并非只是为了保护欧盟公民的个人可识别信息，它也适用于当时位于欧盟地理边界之内的任何国籍的人。

ICO 之所以按照当时适用法律（即英国《数据保护法案1998》，现在被《数据保护法案2018》取代，而后者是英国对 GDPR 的实施）的最高罚款的部分原因是 Facebook 公司持续未能意识到自己的错误。ICO 表示，“甚至在2015年12月发现数据遭滥用后，Facebook 公司并未采取充分措施确保继续使用该站点一方能采取妥善且及时的补救措施，如删除。在 SCL 集团的案例中，Facebook 直到2018年才让其暂停使用 Facebook 平台。”

而这是 GDPR 的另外一个关键点：监管机构将会考虑所涉及方采取的保护个人数据的努力。虽然快速的补救措施可能不会降低任何适用罚款金额，但未及时有效地做出响应几乎肯定会增加罚款额度。

ICO 的委员 Elizabeth Denham表示，“Facebook 公司在数据被不合法地处理之前、之中和之后均未能充分保护用户的隐私安全。像 Facebook 这样规模的公司及其拥有的专业能力本应该理解得也做得更好。”

然而，Denham 评论称，这起案例应该向所有处理欧盟用户数据的公司提出警告：“我们认为这些违法行为及其严重，因此我们根据之前的立法判处最高罚款。GDPR 下的罚款额度将比现在的数额高得多。我们采取执法行为的主要动机之一是推动组织机构在处理个人数据的过程中做出有意义的改变。我们仍在推进这一目标的实现。”

GDPR 并非只为了惩罚违反者，而是为了通过重罚真正地变革它们的业务实践。按照 GDPR 开出的更多罚款是不可避免的。

原文链接

https://www.securityweek.com/uk-regulator-hits-facebook-maximum-fine

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。