Ang Meta Platforms, ang pangunahing kumpanya ng Facebook, ay pinagmulta ng €251 milyon ($264 milyon) ng Ireland’s Data Protection Commission (DPC) para sa isang paglabag sa data noong 2018 na naglantad ng sensitibong impormasyon ng user.
Ang paglabag, na pinagsamantalahan ang isang depekto sa feature na”View As”ng Facebook, ay nakaapekto sa 29 milyong account sa buong mundo, kabilang ang 3 milyon sa loob ng European Union. Ipinapakita ng parusa ang lumalaking kahalagahan ng mga regulasyon sa proteksyon ng data sa ilalim ng General ng EU Data Protection Regulation (GDPR).
Ano ang Nangyari sa 2018 Breach
Ang paglabag ay nagmula sa Facebook’s Ang feature na”View As”, isang tool na idinisenyo upang hayaan ang mga user na i-preview kung paano lumabas ang kanilang mga profile sa iba. Pinagsama ng mga attacker ang feature na ito sa isang tool sa pag-upload ng video, na hindi sinasadyang gumawa ng mga token ng user—mga digital key na nagbibigay ng ganap na access sa account ng isang user.
Ang mga token na ito ay pinagana hindi awtorisadong pag-access sa personal na impormasyon, kabilang ang mga pangalan, numero ng telepono, email address, at sensitibong data gaya ng mga paniniwala sa relihiyon at mga kaugnayang pampulitika.
Ni na nagpapahintulot sa tool na nag-upload ng video na bumuo ng ganap na pinahintulutang mga token ng user, ang sistema ng Facebook ay hindi sinasadyang lumikha ng isang cascading vulnerability. Ang nasabing mga token, na nilayon bilang secure na mekanismo ng pagpapatotoo, ay naging gateway para sa mga umaatake upang ma-access ang milyun-milyong profile.
Sa pagitan ng Setyembre 14 at 28, 2018, sinamantala ng mga umaatake ang kahinaan, na nag-access sa milyun-milyong user account. Natuklasan ng security team ng Facebook ang isyu matapos mapansin ang hindi pangkaraniwang aktibidad sa pag-upload ng video. Agad na hindi pinagana ng kumpanya ang mga apektadong feature, naabisuhan ang mga regulator, at nakipag-ugnayan sa mga user na nakompromiso ang mga account.
Ang teknikal na pagkabigo na ito ay sumasalamin sa mas malawak na mga kritisismo sa diskarte ng Meta sa disenyo ng system. Ang mga regulator ay patuloy na nanawagan para sa mga kumpanya na unahin ang privacy at seguridad mula sa simula, sa halip na tugunan ang mga isyu nang reaktibo pagkatapos mangyari ang mga paglabag.
Kaugnay: Pag-aari ng Microsoft ang LinkedIn Fined €310M para sa EU Privacy Violations
Mga Natuklasan at Parusa ng DPC
Pagkatapos ng masusing pagsisiyasat, natagpuan ng DPC ang Meta na lumalabag sa ilang Mga artikulo ng GDPR. Ang pinakamalaking multa ay inilabas para sa hindi pagpapatupad ng sapat na mga hakbang sa proteksyon ng data sa panahon ng disenyo ng system at mga default na setting:
Artikulo 25( 1): Isang €130 milyon na multa para sa hindi pagsasama ng sapat na mga pananggalang sa arkitektura ng system ng Facebook. Artikulo 25(2): Isang €110 milyon na multa para sa hindi sapat na mga hakbang na tinitiyak ang kaunting pagproseso ng data bilang default. Artikulo 33(3) at 33(5): Karagdagang €11 milyon para sa pagbibigay ng hindi kumpletong mga notification ng paglabag at hindi sapat dokumentasyon ng mga remedial na aksyon.
Sa isang pahayag, ipinaliwanag ni Deputy Commissioner Graham Doyle, “Ang pagkilos na ito sa pagpapatupad ay nagha-highlight kung paano ang kabiguang bumuo ng mga kinakailangan sa proteksyon ng data sa buong yugto ng disenyo at pag-unlad ay maaaring maglantad sa mga indibidwal sa napakaseryosong mga panganib at pinsala, kabilang ang panganib sa mga pangunahing karapatan at kalayaan ng mga indibidwal.
Ang mga profile sa Facebook ay maaaring, at kadalasang ginagawa, ay naglalaman ng impormasyon tungkol sa mga bagay tulad ng mga paniniwala sa relihiyon o pulitika, buhay o oryentasyong sekswal, at mga katulad na bagay na maaaring naisin lamang ibunyag ng isang user sa partikular na mga pangyayari. Sa pamamagitan ng pagpapahintulot sa hindi awtorisadong pagkakalantad ng impormasyon sa profile, ang mga kahinaan sa likod ng paglabag na ito ay nagdulot ng matinding panganib ng maling paggamit ng mga ganitong uri ng data.”
Kaugnay: Inaakusahan ng Austrian NOYB Group ang Microsoft ng mga Paglabag sa GDPR sa Edukasyon
Inihayag ng Meta ang intensyon nitong iapela ang desisyon Isang tagapagsalita ng kumpanya ang nagsabi, “Nagsagawa kami ng agarang aksyon upang ayusin ang problema sa sandaling ito ay natukoy, at kami. proactively informed both impacted users and the Irish Data Protection Commission.”
Habang binibigyang-diin ng Meta ang mga hakbang na ginawa nito bilang pagtugon sa paglabag, ang mga regulator ay nangangatuwiran na ang mga pagkilos na ito ay hindi nagpapawalang-bisa sa kumpanya ng mga sistematikong bahid sa proteksyon ng data nito mga kasanayan.
Kasaysayan ng Meta ng Mga Pagkabigo sa Privacy ng Data at Mga Kasanayan sa Anticompetitive
Ang €251 milyon na multa ay bahagi ng isang mas malawak na pattern ng mga aksyong pangregulasyon laban sa Meta. Ang isa sa mga pinaka-nahihiya na iskandalo sa privacy ng kumpanya, ang kaso ng Cambridge Analytica, ay kinasasangkutan ng hindi awtorisadong pag-aani ng data mula sa 87 milyong mga user ng Facebook.
Ginamit ang data upang maimpluwensyahan ang mga halalan, na humahantong sa isang $725 milyon na pag-aayos sa isang U.S. class-action na demanda. Ang pagbagsak mula sa Cambridge Analytica ay permanenteng nagpabago sa mga pananaw ng publiko sa pangako ng Facebook sa privacy ng user.
Ang kasunod na mga multa sa GDPR ay higit pang naglalarawan ng mga pakikibaka sa pagsunod ng Meta. Kabilang dito ang €390 milyon na parusa para sa maling paghawak sa mga Instagram account ng mga bata at isang record na €1.2 bilyon na multa noong 2023 para sa hindi wastong paglilipat ng data sa pagitan ng EU at United States. Sama-sama, itinatampok ng mga kasong ito ang paulit-ulit na mga kahinaan sa diskarte ng Meta sa privacy at seguridad.
Ang GDPR , na pinagtibay noong 2018, ay naging isang pandaigdigang benchmark para sa batas sa privacy, na nakakaimpluwensya sa mga batas sa mga hurisdiksyon gaya ng California. Sa ilalim ng GDPR, maaaring maharap ang mga kumpanya ng multa ng hanggang 4% ng kanilang pandaigdigang kita para sa hindi pagsunod. Para sa Meta, na hanggang ngayon ay pinagmulta ng halos €3 bilyon sa ilalim ng pagpapatupad ng GDPR, ang regulasyon ay lumikha ng malalaking hamon sa pananalapi at reputasyon.
Higit pa sa EU, ang mga problema sa regulasyon ng Meta ay umaabot sa ibang mga rehiyon. Sa Australia, nagbayad ang kumpanya ng $50 milyon para sa pagpapatakbo ng mga scam ad na nagtatampok ng mga pampublikong tao. Sa UK, nahaharap ito sa £50.5 milyon na multa para sa paglabag sa mga panuntunan sa panahon ng pagkuha nito sa Giphy. Ang mga kasong ito ay sumasalamin sa lumalaking global momentum upang panagutin ang Big Tech para sa privacy at mga paglabag sa kumpetisyon.
Nauugnay: Nabigong I-overturn ng Google ang €2.4 Billion EU Antitrust Fine
Mga Implikasyon para sa Mas Malawak na Industriya ng Tek
Ang paulit-ulit na multa ng Meta ay nagsisilbing isang babala para sa industriya ng tech. Habang ang mga regulator sa buong mundo ay nagpatibay ng mas mahigpit na mga batas sa proteksyon ng data, ang mga kumpanya ay nasa ilalim ng pagtaas ng presyon upang unahin ang privacy ng user. Ang mga mekanismo ng pagpapatupad ng GDPR ay malamang na magbigay ng inspirasyon sa mga katulad na frameworks sa buong mundo, na naghihikayat sa mga tech firm na magpatupad ng mga proactive na hakbang sa pagsunod.
Gayunpaman, ang mga paulit-ulit na lapses ng Meta ay nagmumungkahi ng mas malalim na isyu sa pamamahala na dapat tugunan. Ipinapangatuwiran ng mga kritiko na ang pagtutok ng kumpanya sa paglago at monetization ay kadalasang nauuwi sa kapinsalaan ng seguridad ng user—isang balanse na lalong ayaw tanggapin ng mga regulator at consumer.
Habang nagsisikap ang Meta na pahusayin ang imprastraktura ng seguridad nito, kasaysayan ng mga multa at iskandalo ay naglalabas ng mga katanungan tungkol sa pagiging epektibo ng mga hakbang na ito.