【文/觀察者網 張菁娟】經過一年半多的調查，歐盟主要的隱私監督機構——愛爾蘭資料保護委員會（DPC）向臉書母公司Meta開出了鉅額罰單。

當地時間11月28日，DPC在其官網釋出的宣告稱，因違反了歐盟《通用資料保護條例》（GDPR）中的兩條規定，決定對Meta作出罰款2。65億歐元（約合人民幣19。7億元）的行政處罰，另外要求其在規定時間內採取一系列補救措施，確保後續合規進行。委員會表示，這一決定是上週五（25日）做出的。

愛爾蘭資料保護委員會宣告截圖

DPC對於Meta的調查始於去年4月15日，當時，美媒“商業內幕”披露，5億多臉書使用者資料被整理後上傳至一個“低階駭客論壇”，其中涉及使用者的電話號碼、居住地址等私人資訊，可被具備基本資料技能的人免費訪問。

諷刺的是，這5億多臉書使用者的個人資料中，還包括扎克伯格等臉書高層的手機號碼。而臉書當時給出的解釋是，涉及的都是2019年的舊資料，他們已於當年8月發現並解決了該問題。

宣告指出，透過調查2018年5月25日至2019年9月期間的Facebook搜尋、Facebook Messenger聯絡人匯入器和Instagram聯絡人匯入器資料，委員會發現，Meta違反了GDPR第25條中的前兩項規定。

第25條透過設計的資料保護和預設的資料保護

1．在考慮了最新水平、實施成本和處理的性質、範圍、語境與目的，以及處理給自然人權利和自由帶來的傷害可能性與嚴重性之後，控制者應當在決定處理方式時和決定處理時，應當採取合適的技術與組織措施，如假名化。並在處理中納入必要的保障措施，以便符合本條例的要求和保護資料主體的權利。

2．控制者有責任採取適當的技術與組織措施，以保障在預設情況下，只處理某個特定處理目的所必需的個人資料。這種責任適用於收集的個人資料的數量、處理的限度，儲存的期限以及可訪問性。尤其需要注意的是，此類措施必須確保，在預設情況下，如果沒有個體介入，個人資料不會被不特定數量的自然人所訪問。

歐盟《通用資料保護條例》第25條截圖

“由於資料集非常龐大，且該平臺此前存在類似問題，這種情況本可即時發現，因此我們最終決定施加重大制裁，”資料保護專員海倫•迪克森（Helen Dixon）告訴愛爾蘭廣播電視總檯（RTÉ），就欺詐、垃圾郵件、簡訊詐騙、網路釣魚和失去對個人資料的控制而言，個人面臨的風險相當大。

她強調，“委員會是代表所有歐盟使用者進行監管。”

歐盟《通用資料保護條例》於2018年5月25日生效。最初於2012年提出，並於2015年12月獲得了歐盟理事會的透過。作為統一的資料保護法，GDPR的前身是1995年的《資料保護指令》95/46/EC。

在實施後，GDPR覆蓋所有28個歐盟成員國，替代各國自己的相關法律。它被視為“史上最嚴”的資料保護立法，企業在發生資料洩露事故的情況下可能會面臨高達年收入4%的罰款。

據報道，對於這一空降鉅額罰單，Meta的一位發言人週一（28日）表示，該公司正在仔細評估這一決定。

“在這段時間內，我們對系統做了修改，包括取消透過電話號碼蒐集使用者資料的功能。”

值得注意的是，自2021年9月以來，愛爾蘭資料保護委員會對Meta的罰款總額已累計近10億歐元。

今年9月，Meta因旗下Instagram涉嫌不當處理兒童資訊，被罰款4。05億歐元，是根據GDPR規定對一家公司開出的第二高的罰單，僅次於2021年7月對亞馬遜處以的7。46億歐元罰款。

除此之外，2021年9月，Meta旗下的通訊軟體WhatsApp因違反歐盟資料隱私法規被罰2。25億歐元，愛爾蘭資料保護委員會當時表示WhatsApp沒有告知歐洲使用者蒐集他們資料的方式以及如何與母公司臉書共享資料。而今年3月，Meta同樣因牽涉5000萬用戶的資料洩露被罰款1700萬歐元。

本文系觀察者網獨家稿件，未經授權，不得轉載。