又见天价罚单，Meta违反GDPR被罚4亿美元

9 月 6 日，“Meta 违反了 GDPR 被罚款 4 亿美元（约28亿元人民币）”的新闻迅速引爆了科技圈，数据和隐私安全问题再次成为网友议论的焦点。爱尔兰数据保护委员会（DPC）在9月2日给出上述判决，并根据欧盟《通用数据保护条例》（以下简称“GDPR”）开出的此项罚单。一旦处罚落地，这将成为迄今为止金额最大的罚单之一，也从侧面反映出欧盟打击未成年人隐私泄露的决心和力度。

其实Instagram会遭受监管部门处罚早在众人的意料之中，但是如此庞大的处罚金额却在意料之外。

早在2020年，爱尔兰数据保护委员会就开始着手调查 Instagram，原因是该公司默认将 13 岁至 17 岁儿童的账户设置为公开状态，并允许在 Instagram 上拥有商业账户的青少年公开自己的电子邮件地址和电话号码。

那时，Instagram 将遭受巨额罚款的信号就已非常明显。经过两年多时间的调查和取证，直到2022年9月2日，爱尔兰数据保护委员终于决定根据《通用数据保护条例》，开出这张巨额罚单。

事实上，欧盟一直非常重视儿童数据保护，并致力于更好地保护儿童在社交媒体、在线视频游戏和其他互联网服务上生成的数据。这也是Instagram踩雷GDPR之后，被监管机构开出了4亿美元的天价罚单。

得知罚款消息后，Meta 很快做出了回应。公司一位发言人公开表示，在整个调查过程中，meta一直都非常配合爱尔兰数据保护委员，但不能接受这笔罚款的计算方式，后续会提出上诉。

此外，发言人还强调此次调查主要是集中在一年多前更新的旧设置上，自那以后已经更新了许多新功能，以帮助保护青少年的安全及其信息隐私。任何 18岁以下的人在加入Instagram时，他们的账户都会自动设置为私人账号，所以只有他们认识的人才能看到其发布的内容，成年人不能给没有关注他们的青少年发消息。

Meta 成数据安全“老冤种”

Meta 能否上诉成功暂且不论，但是近年来 Meta 深陷数据安全的泥潭之中，想必会让扎克伯格“记忆深刻”。随着全球数据安全法律法规的收紧，Meta屡次踩中数据安全违规红线，深陷法律舆论漩涡无法自拔。爱尔兰对其开出 4 亿美元的巨额罚单，不过是 Meta 在数据安全违规问题上的一个标志性事件。

而Meta 自身对于数据安全的“漠视”，是其屡屡触及数据安全法规红线的根源。仅仅2年的时间，Meta就已经收到了多份数据安全相关罚单。

2022年3月，DPC宣布，由于Facebook的母公司Meta违反欧盟GDPR，对其处以1700万欧元的罚款。该决定是DPC在对Facebook提供的12 次数据泄露说明进行调查后作出的。DPC表示，在多次大规模个人数据泄露中，Meta未能证明其采取了适当的安全应对措施，保障欧盟用户的数据安全。

2021 年 2 月，意大利当局以 Facebook 未能遵照 2018 年 11月该局对其的警告，终止对用户数据的不当使用，亦未发布更正声明，对其处以760万美金的罚款。然而，Meta在已经受到当局警告情况下，依旧没有中止对用户数据的不当使用，也没有采取更多的保护措施，像鸵鸟一样把头“埋在”沙土中，继续干着损害用户的事情，自然难逃惩罚。

除了在数据安全方面出现违规以外，滥用技术手段，强制收集用户数据同样是Meta经常做的事情，也是其频频遭遇处罚的原因。

2021 年 2 月，号称有史以来最大规模的隐私诉讼终于达成和解，facebook 将向其 160 万用户赔偿共计 6.5 亿美元，而这一切都要从 Facebook 滥用人脸识别技术说起。

2015年， Facebook 被指控未经用户许可通过“人脸识别”收集和存储用户面部数字扫描信息和其他生物信息。事情经过发酵，越来越多的人开始加入到诉讼的队伍中最终，Facebook 以付出 6.5 亿美元为代价，才得以从泥潭抽身。

2021 年 9 月，隶属脸书的即时通信工具 WhatsApp 又因违反欧盟 GDPR，收到 2.25 亿欧元的“巨额罚单”。DPC 认为，WhatsApp 处理用户个人信息时未能充分告知相关事项，包括如何与母公司脸书共享这些信息，由此违反了欧盟GDPR，最终被处以2.25亿欧元的罚款。此外，爱尔兰数据保护委员会要求WhatsApp进行“整改”，需根据监管要求采取一系列补救措施，以满足欧盟GDPR的规定。

追溯这两年 Meta 的数据安全违规事件，不难发现造成违规事件频频发生的本质原因是对数据使用、储存、用户隐私权限设定出现了问题。

其它科技巨头同样深陷数据安全合规的“泥潭”

互联网时代，数据就是企业“安身立命”的资本，因此数据安全问题也不会仅仅只有 Meta 会遇到，其它互联网巨头同样深陷数据安全问题漩涡中。

2019年 8 月，谷歌推出的 YouTube Kids 涉嫌收集未成年人的个人信息，更是在未经未成年父母同意的情况下使用这些信息投放特定广告，违反了《儿童在线隐私保护条例》最终不得不向美国联邦贸易委员会缴纳了 2 亿美元罚款，成为《儿童在线隐私保护条例》立法以来，刀下最大的“亡魂”。

在欧洲地区，谷歌也因数据安全等问题，成为了欧洲多个国家和部门的眼中钉，很难像以往一样自由支配用户数据。2019 年 1 月，法国以谷歌在其用户个人信息保护和数据处理上违反了欧盟《通用数据保护条例》中相关规定为由，对谷歌开出 5700 万美元罚单。

对于数据安全违规，国内的互联网不仅不能“免俗”，而且更胜一筹，会义无反顾的加入到了“违规”大军中，其中最典型的代表当属滴滴。

2021年之前提起滴滴，百姓无不拍手叫好，“掀起了出行革命”、“带来数百万就业机会”成为那几年滴滴的光鲜标签。事情很快出现了反转，2021 年 7 月 1 日，滴滴”低调“赴美上市，不但网上没有铺天盖地的消息，就连其官网都没有宣传，甚至滴滴内部员工都没发任何朋友圈，更没有微博热搜，诡异的可怕。

很快事情出现了转机，相关单位根据《中华人民共和国国家安全法、《中华人民共和国网络安全法》，以防范国家数据安全风险、维护国家安全、保障公共利益对滴滴进行网络安全审查工作。

后续的事情想来大家都有所耳闻，一年后，因滴滴违反国家法律、国家网信办对其罚款 80.26 亿，同时对滴滴 CEO 程维、总裁柳青各处人民币100万的罚款，滴滴出行神话一夜告破。

网信办对滴滴公司存在的违法行为的归纳概括：

违法收集用户相册截图1196.39万条；
过度收集用户剪切板信息和应用列表83.23亿条；
过度收集人脸信息1.07亿条，年龄信息5350.92万条，职业信息1633.56万条，亲情关系信息138.29万条、公司和家的地址信息1.53亿条；
过度收集精准位置(经纬度)信息1.67亿条；
过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；
在未明确告知乘客的情况下，分析出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/旅游信息3.04亿条；
在乘客使用顺风车服务时频繁索取无关的“电话权限”；
未准确、清晰的说明用户设备信息等19项个人信息的处理目的。

随着全球数字化的程度越来越高，数据的价值也在不断攀升，用户的数据和隐私信息不再仅仅是企业牟利的原材料，而是要真真切切保护起来。这也是全球不可逆的趋势。越来越多的国家正在制定并实施自己的数据监管法规，在此基础上，企业如果继续一意孤行，违反数据安全相关法律法规体系，使用用户信息乃至隐私，必然需要付出相应的代价。

正如安全专家所说的那样，互联网曾经历“野蛮生长”的时代，但如今那个时代已经过去，各国政府显然在进行“查漏补缺”，对每一步使用“数据隐私”牟利的行为收取“代价”。