4月27日,联邦法院正式批准美国联邦贸易委员会(FTC)和Facebook之间的用户个人隐私问题和解协议,Facebook认罚50亿美元。2019年7月,FTC在对Facebook和剑桥分析公司滥用用户数据事件进行长期调查后,就相关问题达成了和解协议。
这场和解可以说是具有里程碑的意义,50亿美元是有史以来对侵犯隐私科技公司的最高罚款,远远超过2012年谷歌的2200万美元,或者其他隐私罚款。同时,对于美国联邦委员会来说这也是有史以来最大的一笔罚款。
该和解协议除了罚款还包含其他条款,比如增加隐私措施,并提供季度报告来证明遵守隐私协议。除此以外,Facebook还同意成立一个专门的隐私委员会,以此来加强用户隐私保护。
Facebook首席产品隐私官Michel Protti在公司的一篇博客文章中说:“这项和解协议已经给我们的公司带来了根本性的变化,我们在保护人们隐私方面取得了前所未有的进步。最重要的是,它带来了新的责任水平,并确保隐私是Facebook每个人的责任。”
协议对Facebook的业务运营增加了新限制,并建立了多种合规渠道,要求Facebook从公司董事会层面向下调整其隐私保护方法,并建立强有力的新机制,确保Facebook高管对其所作的隐私决定负责,并对这些决定进行严格监督。
该协议还包含以下新的隐私要求:
Facebook必须对第三方应用程序进行更严格的监督,包括终止无法证明自己符合Facebook平台政策或无法证明其对特定用户数据的合理性的应用程序开发人员;
禁止Facebook使用获得的电话号码来启用广告的安全功能(例如,两因素身份验证);
Facebook必须就其使用面部识别技术提供明确的通知,并在任何实质性超出其事先告知用户的使用之前,获得用户明确的同意;
Facebook必须建立、实施和维护全面的数据安全计划;
Facebook必须加密用户密码并定期扫描,检测是否以明文形式存储了任何密码;
消费者在注册Facebook服务时,禁止Facebook向其他服务请求电子邮件密码。
FTC主席认为,在联邦委员会的历史上,50亿美元的罚款是前所未有的。罚款的目的不仅在于警示未来的数据泄露行为,更重要的是改变Facebook的整个隐私文化,使其认真对待用户隐私,希望其在法律允许的最大范围内执行FTC的命令。
Facebook CEO Mark Zuckerberg早前曾就此协议发布声明,其中提及,所有高管都必须遵循隐私承诺,并设立新的隐私委员会以进行监督。同时审查技术中的隐私风险,处理任何用户记录风险。
FTC和Facebooks之间的纠葛可以追溯到2018年3月,Facebook处理用户数据违反了FTC在2011年提出的一项隐私和解协议,与英国政治咨询公司Cambridge Analytica共享了8700万用户的信息。而该咨询公司利用在 Facebook 上获得的用户个人资料数据,来创建档案、并在2016总统大选期间针对这些人进行定向宣传。
2018年,泄密门事件对Facebook可以说是沉重的一击,在事件披露之后,Facebook蒸发360亿美元,股价大跌7%。随后FTC便开展一场漫长的调查,庞大数量的用户数据是否有被不正当使用。
2019年7月,在FTC调查Facebook是否应该采取更多措施防止剑桥分析公司窃取多达8700万用户的数据后,双方达成和解。FTC和Facebok之间的和解协议,FTC以3票对2票通过,但在当时,还有两位民主党委员认为,这些惩罚还不够。
如今,Facebook剑桥分析数据事件在这次法院批准、协议生效后算是尘埃落定了。这场泄密风波中,社交媒体、政治宣传、用户隐私和个人数据等种种因素,发挥的作用都在相互交织。
Facebok作为用户集群的把控方,拥有海量用户数据,却疏于管理,英国剑桥分析公司利用这些社交媒体上的获取的数据企图进行政治干预,这说明数据和隐私能发挥的作用将越来越大,潜在危害也越来越大,波及的领域也将越来越广。这必然推动法律监管的严格化和全面化,在法律的警钟下,科技企业触及用户数据和隐私时也会越来越谨慎。
事情发展成这样,倒霉的Facebook背了口巨大的锅,由于未能保护用户信息,造成隐私泄露,而付出天价的罚款。
这一方面体现了西方人对隐私的重视程度,另一方面体现了法制的严厉。严谨地探求,此事就是Facebook未经用户许可而让第三方获得了用户的私人信息,这是无法谅解的错误!
仅2019年,中国国内网络数据泄露事件如下:
2019年2月,深网视界(AI安防)泄露250万人的人脸数据。
2019年4月,国内多家企业的MongoDB和ElasticSearch服务器因暴露泄露5.9亿份简历。
2019年4月,哔哩哔哩公司(B站)后台源码泄露涉及众多用户密码。
2019年7月,智能家居公司欧瑞博(Orvibo)的数据库泄露涉及超过 20 亿条IoT日志。
2019年9月,国内医疗PACS服务器泄露涉及中国近28万条患者记录。
此外,各种邮箱、社交网络等等,都有数据泄露的问题,更何况那些拐弯抹角以隐晦的手段骗取用户信息的应用更是不计其数。
从法律层面讲,我们也有明确的隐私保护条例。
在《民法总则》中,明确了个人信息的法律地位,《民法总则》第一百一十一条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《消费者权益保护法》第二十九条:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
《网络安全法》第二十二条:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
这些法律法规明确保障个人的隐私和信息,是禁止窃取以及被拥有其信息的机构出让的。
Facebook泄露事件导致的50亿美元罚款,对我们而言似乎只是一件与自己无关的新闻,看过热闹之后,企业负责人们也应该反思一下自身处境。
1、及时检查网站程序安全,安装程序补丁;做好网页代码漏洞修补,对已被入侵或挂马的代码及文件进行清理;
2、除了员工个人要提高防范意识,企业更应从技术上严加防范数据泄露。企业自建邮箱及官网系统的运维成本是相当高,而自建邮箱系统的性能和安全性对于相关技术经验不足的企业来说,风险几乎是不可控的。
3、企业邮箱应部署邮件加密证书全程加密传输,企业应当为官网部署SSL证书等,有效防止数据被窃取、篡改、确保数据的完整性,提升网络安全性。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
