ไอร์แลนด์ตบ Meta ด้วยค่าปรับ 251 ล้านยูโรสำหรับการละเมิด GDPR ในปี 2561

Meta Platforms ซึ่งเป็นบริษัทแม่ของ Facebook ถูกปรับ 251 ล้านยูโร (264 ล้านดอลลาร์) โดยคณะกรรมการคุ้มครองข้อมูล (DPC) ของไอร์แลนด์ สำหรับการละเมิดข้อมูลในปี 2018 ที่เปิดเผยข้อมูลผู้ใช้ที่ละเอียดอ่อน

การละเมิดซึ่งใช้ประโยชน์จากข้อบกพร่องในฟีเจอร์”ดูเป็น”ของ Facebook ส่งผลกระทบต่อบัญชี 29 ล้านบัญชีทั่วโลก รวมถึง 3 ล้านบัญชีในสหภาพยุโรป บทลงโทษดังกล่าวแสดงให้เห็นถึงความสำคัญที่เพิ่มขึ้นของกฎระเบียบการปกป้องข้อมูลภายใต้กฎหมายทั่วไปของสหภาพยุโรป กฎระเบียบคุ้มครองข้อมูล (GDPR)

เกิดอะไรขึ้นในการละเมิดปี 2018

การละเมิดเกิดขึ้นจากฟีเจอร์”ดูเป็น”ของ Facebook ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อให้ ผู้ใช้ดูตัวอย่างว่าโปรไฟล์ของพวกเขาปรากฏต่อผู้อื่นอย่างไร ผู้โจมตีรวมฟีเจอร์นี้เข้ากับเครื่องมืออัปโหลดวิดีโอ โดยไม่ได้ตั้งใจสร้างโทเค็นผู้ใช้ ซึ่งเป็นคีย์ดิจิทัลที่ให้สิทธิ์การเข้าถึงบัญชีของผู้ใช้โดยสมบูรณ์

เปิดใช้งานโทเค็นเหล่านี้ การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมถึงชื่อ หมายเลขโทรศัพท์ ที่อยู่อีเมล และข้อมูลที่ละเอียดอ่อน เช่น ความเชื่อทางศาสนาและความเกี่ยวข้องทางการเมือง

โดยการอนุญาตให้เครื่องมืออัปโหลดวิดีโอสร้างการอนุญาตอย่างเต็มที่ โทเค็นผู้ใช้ ระบบของ Facebook ได้สร้างช่องโหว่แบบเรียงซ้อนโดยไม่ได้ตั้งใจ โทเค็นดังกล่าวซึ่งมีจุดประสงค์เพื่อเป็นกลไกการตรวจสอบสิทธิ์ที่ปลอดภัย กลายเป็นช่องทางสำหรับผู้โจมตีในการเข้าถึงโปรไฟล์นับล้าน

ระหว่างวันที่ 14 ถึง 28 กันยายน 2018 ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยเข้าถึงบัญชีผู้ใช้หลายล้านบัญชี ทีมรักษาความปลอดภัยของ Facebook ค้นพบปัญหาหลังจากสังเกตเห็นกิจกรรมการอัพโหลดวิดีโอที่ผิดปกติ บริษัทได้ปิดการใช้งานคุณสมบัติที่ได้รับผลกระทบทันที หน่วยงานกำกับดูแลที่ได้รับแจ้ง และติดต่อผู้ใช้ที่มีบัญชีถูกบุกรุก

ความล้มเหลวทางเทคนิคนี้สะท้อนถึงการวิพากษ์วิจารณ์ในวงกว้างเกี่ยวกับแนวทางการออกแบบระบบของ Meta หน่วยงานกำกับดูแลเรียกร้องให้บริษัทต่างๆ ให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยตั้งแต่เริ่มแรก แทนที่จะแก้ไขปัญหาทันทีหลังจากเกิดการละเมิด

ที่เกี่ยวข้อง: Microsoft เป็นเจ้าของ LinkedIn ถูกปรับ €310M สำหรับการละเมิดความเป็นส่วนตัวของสหภาพยุโรป

ผลการวิจัยและบทลงโทษของ DPC

หลังจากการสอบสวนอย่างละเอียด DPC พบว่า Meta ละเมิดบทความ GDPR หลายบทความ มีการออกค่าปรับที่ใหญ่ที่สุดสำหรับความล้มเหลวในการใช้มาตรการปกป้องข้อมูลที่เพียงพอในระหว่างการออกแบบระบบและการตั้งค่าเริ่มต้น:

มาตรา 25( 1): ค่าปรับ 130 ล้านยูโร จากการล้มเหลวในการบูรณาการการป้องกันที่เพียงพอเข้ากับสถาปัตยกรรมระบบของ Facebook มาตรา 25(2): ค่าปรับ 110 ล้านยูโรสำหรับมาตรการที่ไม่เพียงพอเพื่อให้มั่นใจว่ามีการประมวลผลข้อมูลน้อยที่สุดตามค่าเริ่มต้น บทความ 33(3) และ 33(5): เพิ่มเติม 11 ล้านยูโรสำหรับการแจ้งเตือนการละเมิดที่ไม่สมบูรณ์และไม่เพียงพอ เอกสารการดำเนินการแก้ไข

ในแถลงการณ์ รองผู้บัญชาการ Graham Doyle อธิบายว่า”การดำเนินการบังคับใช้นี้เน้นย้ำว่าความล้มเหลวในการสร้างข้อกำหนดในการปกป้องข้อมูลตลอดวงจรการออกแบบและการพัฒนาอาจทำให้บุคคลมีความเสี่ยงและอันตรายร้ายแรงมากได้อย่างไร รวมถึงความเสี่ยงต่อสิทธิขั้นพื้นฐาน และเสรีภาพของบุคคล

โปรไฟล์ Facebook สามารถและมักจะประกอบด้วยข้อมูลเกี่ยวกับเรื่องต่างๆ เช่น ความเชื่อทางศาสนาหรือการเมือง ชีวิตทางเพศหรือรสนิยม และเรื่องที่คล้ายกันซึ่งผู้ใช้อาจต้องการเปิดเผยเฉพาะในสถานการณ์เฉพาะเท่านั้น ด้วยการอนุญาตให้เปิดเผยข้อมูลโปรไฟล์โดยไม่ได้รับอนุญาต ช่องโหว่ที่อยู่เบื้องหลังการละเมิดนี้ทำให้เกิดความเสี่ยงร้ายแรงต่อการใช้ข้อมูลประเภทนี้ในทางที่ผิด”

ที่เกี่ยวข้อง: กลุ่ม NOYB ของออสเตรียกล่าวหาว่า Microsoft ละเมิด GDPR ในด้านการศึกษา

Meta ได้ประกาศความตั้งใจที่จะอุทธรณ์คำตัดสินดังกล่าว โฆษกของบริษัทกล่าวว่า”เราได้ดำเนินการแก้ไขปัญหาทันทีที่พบปัญหาดังกล่าว และเราได้แจ้งให้ทั้งผู้ใช้ที่ได้รับผลกระทบและ คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์”

ในขณะที่ Meta เน้นย้ำถึงมาตรการที่ใช้เพื่อตอบสนองต่อการละเมิด หน่วยงานกำกับดูแลยืนยันว่าการกระทำเหล่านี้ไม่ได้ช่วยบริษัทจากข้อบกพร่องเชิงระบบในแนวทางปฏิบัติในการปกป้องข้อมูล

ประวัติความล้มเหลวด้านความเป็นส่วนตัวของข้อมูลของ Meta และแนวทางปฏิบัติในการต่อต้านการแข่งขัน

ค่าปรับ 251 ล้านยูโรเป็นส่วนหนึ่งของรูปแบบการดำเนินการด้านกฎระเบียบที่กว้างขึ้นต่อ Meta หนึ่งในเรื่องอื้อฉาวด้านความเป็นส่วนตัวที่โด่งดังที่สุดของบริษัท นั่นคือคดี Cambridge Analytica เกี่ยวข้องกับการเก็บเกี่ยวข้อมูลจากผู้ใช้ Facebook 87 ล้านคนโดยไม่ได้รับอนุญาต

ข้อมูลนี้ถูกใช้เพื่อมีอิทธิพลต่อการเลือกตั้ง ซึ่งนำไปสู่การระงับคดีมูลค่า 725 ล้านดอลลาร์ในสหรัฐอเมริกา คดีฟ้องร้องแบบกลุ่ม ผลที่ตามมาจาก Cambridge Analytica ได้เปลี่ยนการรับรู้ของสาธารณชนเกี่ยวกับความมุ่งมั่นของ Facebook ที่มีต่อความเป็นส่วนตัวของผู้ใช้อย่างถาวร

ค่าปรับ GDPR ที่ตามมาได้แสดงให้เห็นเพิ่มเติมถึงความยากลำบากในการปฏิบัติตามกฎระเบียบของ Meta ซึ่งรวมถึงค่าปรับ 390 ล้านยูโรสำหรับการจัดการบัญชี Instagram ของเด็กในทางที่ผิด และค่าปรับ 1.2 พันล้านยูโรในปี 2566 สำหรับการถ่ายโอนข้อมูลที่ไม่เหมาะสมระหว่างสหภาพยุโรปและสหรัฐอเมริกา กรณีเหล่านี้โดยรวมเน้นย้ำถึงจุดอ่อนที่เกิดขึ้นซ้ำๆ ในแนวทางความเป็นส่วนตัวและความปลอดภัยของ Meta

Scandal
/FineYearAmountDetailsImpactAnticompetitive Integration of Facebook Marketplace2024€800 millionMeta การตัดสินใจของ Meta ที่จะรวมบริการโฆษณาแยกประเภทเข้ากับแพลตฟอร์มโซเชียลมีเดียทำให้เกิดความไม่ยุติธรรม ความได้เปรียบทางการตลาด การจำกัดการแข่งขันในภาคตลาดดิจิทัล เมื่อวันที่ 12 พฤศจิกายน 2024 Meta ได้เปิดตัวโฆษณาใหม่ รูปแบบทั่วยุโรปที่มุ่งตอบสนองข้อกำหนดการปฏิบัติตามข้อกำหนดของสหภาพยุโรป ขณะนี้ผู้ใช้มีตัวเลือกในการดูโฆษณาที่มีความเป็นส่วนตัวน้อยลงซึ่งใช้เฉพาะข้อมูลตามเซสชันเท่านั้น เรื่องอื้อฉาวของ Cambridge Analytica2018 มูลค่า 725 ล้านดอลลาร์ ข้อมูลจากผู้ใช้ Facebook 87 ล้านคนที่ได้มาและนำไปใช้ประโยชน์โดยไม่ได้รับความยินยอม ความเชื่อมั่นของผู้ใช้ลดลง เพิ่มการตรวจสอบแนวทางปฏิบัติด้านความเป็นส่วนตัวของข้อมูล การเปลี่ยนแปลงนโยบายแพลตฟอร์ม GDPR การละเมิด (โฆษณาที่ปรับตามโปรไฟล์ของผู้ใช้)2023 390 ล้านยูโร (414 ล้านดอลลาร์) Meta ถูกห้ามไม่ให้กำหนดให้ผู้ใช้ยอมรับโฆษณาที่ปรับตามโปรไฟล์ของผู้ใช้ตามเงื่อนไขในการให้บริการ ตั้งค่า แบบอย่างสำหรับการใช้ข้อมูลเพื่อการโฆษณา ผลกระทบที่อาจเกิดขึ้นต่อรูปแบบรายได้ของ Meta การละเมิด GDPR ของ Instagram ปี 2023 390 ล้านยูโร (414 ล้านดอลลาร์) บัญชีของเด็กถูกตั้งค่าเป็นสาธารณะโดยอัตโนมัติ วัยรุ่นที่มีบัญชีธุรกิจอาจทำให้ข้อมูลติดต่อเป็นแบบสาธารณะ เน้นย้ำถึงความจำเป็นในการปกป้องข้อมูลของเด็กให้ดียิ่งขึ้น บนโซเชียลมีเดีย การละเมิด GDPR ของ WhatsApp ปี 2566 มูลค่า 267 ล้านดอลลาร์สหรัฐฯ ขาดความโปร่งใสในการประมวลผลและการใช้งานข้อมูล เน้นย้ำถึงความสำคัญของการสื่อสารที่ชัดเจนกับผู้ใช้เกี่ยวกับข้อมูล แนวปฏิบัติการตรวจสอบการเทคโอเวอร์ Giphy ปี 2563-2564 50.5 ล้านปอนด์ปรับหากไม่ปฏิบัติตาม CMA ในระหว่างการสอบสวน แสดงให้เห็นถึงการตรวจสอบที่เพิ่มขึ้นของการเข้าซื้อกิจการ Big Tech และผลกระทบที่อาจเกิดขึ้นต่อการแข่งขัน การละเมิดข้อมูลในปี 2561 2561 251 ล้านยูโร (263 ล้านดอลลาร์) การละเมิดข้อมูลที่ส่งผลกระทบต่อบัญชี Facebook 29 ล้านบัญชี. ชื่อเสียงของ Meta ที่เสียหาย เพิ่มการตรวจสอบแนวทางปฏิบัติด้านความปลอดภัย การละเมิดความเป็นส่วนตัวของออสเตรเลีย กรณี2023มูลค่า 50 ล้านดอลลาร์สหรัฐฯ เผยแพร่โฆษณาหลอกลวงที่มีบุคคลสาธารณะโดยไม่ได้รับความยินยอม เน้นย้ำถึงความรับผิดชอบของบริษัทโซเชียลมีเดียในการป้องกันเนื้อหาที่ทำให้เข้าใจผิด

GDPR ที่ประกาศใช้ในปี 2018 ได้กลายเป็นเกณฑ์มาตรฐานระดับโลกสำหรับกฎหมายความเป็นส่วนตัว ซึ่งมีอิทธิพลต่อกฎหมาย ในเขตอำนาจศาลเช่นแคลิฟอร์เนีย ภายใต้ GDPR บริษัทต่างๆ อาจถูกปรับสูงสุดถึง 4% ของรายได้ทั่วโลกจากการไม่ปฏิบัติตามข้อกำหนด สำหรับ Meta ซึ่งจนถึงตอนนี้ถูกปรับเกือบ 3 พันล้านยูโรภายใต้การบังคับใช้ GDPR กฎระเบียบดังกล่าวได้สร้างความท้าทายทางการเงินและชื่อเสียงที่สำคัญ

นอกเหนือจากสหภาพยุโรป ปัญหาด้านกฎระเบียบของ Meta ยังขยายไปยังภูมิภาคอื่น ๆ ในออสเตรเลีย บริษัทจ่ายเงิน 50 ล้านดอลลาร์สำหรับการแสดงโฆษณาหลอกลวงที่มีบุคคลสาธารณะ. ในสหราชอาณาจักร ต้องเผชิญกับค่าปรับ 50.5 ล้านปอนด์สำหรับการละเมิดกฎระหว่างการซื้อกิจการ Giphy กรณีเหล่านี้สะท้อนให้เห็นถึงแรงผลักดันระดับโลกที่เพิ่มขึ้นในการทำให้ Big Tech ต้องรับผิดชอบต่อการละเมิดความเป็นส่วนตัวและการแข่งขัน

ที่เกี่ยวข้อง: Google ล้มเหลวในการคว่ำบาตรค่าปรับต่อต้านการผูกขาดของสหภาพยุโรปมูลค่า 2.4 พันล้านยูโร

ผลกระทบต่ออุตสาหกรรมเทคโนโลยีในวงกว้าง

ค่าปรับซ้ำๆ ของ Meta ทำหน้าที่เป็นเครื่องเตือนใจสำหรับอุตสาหกรรมเทคโนโลยี เนื่องจากหน่วยงานกำกับดูแลทั่วโลกนำกฎหมายคุ้มครองข้อมูลที่เข้มงวดมากขึ้น บริษัทต่างๆ อยู่ภายใต้แรงกดดันที่เพิ่มขึ้นในการจัดลำดับความสำคัญความเป็นส่วนตัวของผู้ใช้ กลไกการบังคับใช้ของ GDPR มีแนวโน้มที่จะสร้างแรงบันดาลใจให้กับกรอบการทำงานที่คล้ายกันทั่วโลก กระตุ้นให้บริษัทเทคโนโลยีนำมาตรการปฏิบัติตามข้อกำหนดเชิงรุกมาใช้

อย่างไรก็ตาม การพลาดที่เกิดขึ้นซ้ำๆ ของ Meta บ่งบอกถึงปัญหาการกำกับดูแลที่ลึกซึ้งยิ่งขึ้นซึ่งต้องได้รับการแก้ไข นักวิจารณ์แย้งว่าการมุ่งเน้นของบริษัทไปที่การเติบโตและการสร้างรายได้มักจะมาพร้อมกับค่าใช้จ่ายด้านความปลอดภัยของผู้ใช้ ซึ่งเป็นความสมดุลที่หน่วยงานกำกับดูแลและผู้บริโภคไม่เต็มใจที่จะยอมรับมากขึ้น

ในขณะที่ Meta ได้พยายามปรับปรุงโครงสร้างพื้นฐานด้านความปลอดภัยของตนแล้ว ประวัติความเป็นมาของค่าปรับและเรื่องอื้อฉาวทำให้เกิดคำถามเกี่ยวกับประสิทธิผลของมาตรการเหล่านี้