爱尔兰数据保护委员会：Facebook5.33亿用户数据泄露

2021年4月6日，爱尔兰数据保护委员会(“DPC”)发布了一份声明，公布了一个黑客网站上的数据集。该数据集似乎来自Facebook，其中包含5.33亿用户的个人数据，数据主体主要来自欧盟成员国。其中的许多数据似乎是前一段时间从Facebook公开资料中抓取的数据。

目前，法国、意大利、香港以及俄罗斯等国家和地区的数据保护机关均向Facebook提出了披露相关细节的要求。

泄露的数据主要包括什么？

泄露的数据包括Facebook id、姓名、地点、出生日期、电子邮件地址以及电话号码。根据欧盟《通用数据保护条例》的定义，可以用于识别自然人的数据就属于受该法保护的个人信息，个人账户、姓名和联络方式是最典型的个人信息。以上数据构成了可以用于识别自然人身份的个人信息，因为这些个人信息的泄露使得数据主体可以被这些数据的持有者追踪和识别。这使得数据主体的安全受到威胁，例如其他的账户安全，因为许多人使用他们的手机号码进行双重身份验证服务，或用于在线账户的密码重置。据报道，一些号码出现在泄露名单上的人收到了越来越多的垃圾电话，这些电话大多来自美国，这属于个人信息泄露的威胁之一。

数据泄露的具体情况是什么？

DPC声明表示，在此之前，已经有过2018年和2019年的数据集公开，这涉及当时的Facebook大规模数据爬取。由于数据爬取发生在GDPR生效以前，因此Facebook选择不将其作为GDPR下的个人数据泄露通知相关各方。但新公开的数据集似乎包含了GDPR之前的数据，并也包含了可能来自以后的其他数据。

但Facebook认为，这次的数据不是黑客侵入其系统导致的，而是通过爬虫爬取的。对于2019年的数据泄露，Facebook当时已经修复了被利用的漏洞，但数据一旦泄露，公司便无法再控制后果。Facebook在对DPC的回复中说：“……根据我们目前为止的调查，我们认为，本周末发布的数据集中的信息是公开可用的，并且在2018年和2019年对该平台进行更改之前就已经被删除。争议数据似乎是由第三方整理的，并且可能来自多个来源。因此，需要进行大量调查才能确定其出处，并具有一定的信心，足以为您的办公室和我们的用户提供更多信息。”

有报道指出，Facebook此前就发现了用户数据可能被爬取的漏洞，但并未进行披露，并声称2019年9月前已经修复了该漏洞，但最终发生了该次数据泄露。

这样的数据泄露应当如何应对？

DPC在声明中认为，黑客网站上发布的记录中有相当部分包含用户的电话号码和电子邮件地址，这会增加受到垃圾邮件的风险。同样地，用户需要警惕他们使用的任何需要使用个人电话号码或电子邮件地址进行身份验证的服务，以防第三方试图获得访问权限。

就相关企业而言，应当做好企业内部防止数据泄露的合规建设。首先，企业应当设立数据保护官的职位或相关部门，采取提前咨询监管机构的等方式建立企业的数据保护机制。其次，企业应当建立通过设计的数据保护和默认的数据保护机制。在数据收集和使用阶段就采取充足的数据保护措施，例如遵循数据收集最小化原则和采用数据匿名化措施。最后，企业应当建立数据泄露的应急机制，在泄露发生以后，数据控制者应当立即通知监管机构，除非数据泄露对于数据主体的权利与自由不会带来风险。当个人数据泄露可能对数据主体的权利造成风险时，应当立即通知数据主体，以便数据主体采取措施降低自己的风险。

普通用户应当在网上透露个人信息时要更加警惕。目前在线共享的数据可能会被用来针对受影响的用户进行网络钓鱼和其他欺诈活动，也要注意你的网上账户的异常活动。

参考资料来源：

主编简介：

王捷 

执业律师，垦丁W&W国际法律团队负责人，荷兰RuG国际经济法与商法硕士，曾任职阿里巴巴大文娱集团，深耕海内外多条业务线，已为多家知名互联网公司及大中型外资企业提供专业法律服务。

王捷律师拥有近10年的科技型公司实务经验与中外律所从业背景，专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

本文编辑

邓立山

就读于北京师范大学法学院，垦丁律师事务所W&W国际法律团队实习生。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。