Meta Platforms, công ty mẹ của Facebook, đã bị Ủy ban bảo vệ dữ liệu Ireland (DPC) phạt 251 triệu euro (264 triệu USD) vì vi phạm dữ liệu năm 2018 làm lộ thông tin nhạy cảm của người dùng.
Vụ vi phạm khai thác lỗ hổng trong tính năng “Xem dưới dạng”của Facebook, đã ảnh hưởng đến 29 triệu tài khoản trên toàn thế giới, bao gồm 3 triệu tài khoản ở Liên minh Châu Âu. Hình phạt cho thấy tầm quan trọng ngày càng tăng của các quy định bảo vệ dữ liệu theo Quy định chung của EU Quy định bảo vệ dữ liệu (GDPR).
Điều gì đã xảy ra trong vụ vi phạm năm 2018
Vụ vi phạm bắt nguồn từ tính năng “Xem dưới dạng”của Facebook, một công cụ được thiết kế để cho phép người dùng xem trước như thế nào hồ sơ của họ đã xuất hiện với người khác. Những kẻ tấn công đã kết hợp tính năng này với công cụ tải video lên, vô tình tạo ra mã thông báo người dùng—các khóa kỹ thuật số cấp quyền truy cập đầy đủ vào tài khoản của người dùng.
Các mã thông báo này đã được bật truy cập trái phép vào thông tin cá nhân, bao gồm tên, số điện thoại, địa chỉ email và dữ liệu nhạy cảm như tín ngưỡng tôn giáo và đảng phái chính trị.
Bằng cách cho phép công cụ tải lên video tạo ra mã thông báo người dùng được cấp phép đầy đủ, hệ thống của Facebook đã vô tình tạo ra một lỗ hổng xếp tầng. Những mã thông báo như vậy, nhằm mục đích là cơ chế xác thực an toàn, đã trở thành cửa ngõ cho những kẻ tấn công truy cập vào hàng triệu hồ sơ.
Từ ngày 14 đến ngày 28 tháng 9 năm 2018, những kẻ tấn công đã khai thác lỗ hổng, truy cập vào hàng triệu tài khoản người dùng. Nhóm bảo mật của Facebook đã phát hiện ra vấn đề sau khi nhận thấy hoạt động tải lên video bất thường. Công ty đã nhanh chóng vô hiệu hóa các tính năng bị ảnh hưởng, thông báo cho cơ quan quản lý và liên hệ với những người dùng có tài khoản bị xâm phạm.
Lỗi kỹ thuật này phản ánh những chỉ trích rộng rãi hơn về cách tiếp cận thiết kế hệ thống của Meta. Các cơ quan quản lý đã liên tục kêu gọi các công ty ưu tiên quyền riêng tư và bảo mật ngay từ đầu, thay vì giải quyết các vấn đề một cách phản ứng sau khi xảy ra vi phạm.
Liên quan: LinkedIn thuộc sở hữu của Microsoft Bị phạt 310 triệu euro vì Vi phạm quyền riêng tư của Liên minh Châu Âu
Kết quả và hình phạt của DPC
Sau khi điều tra kỹ lưỡng, DPC nhận thấy Meta vi phạm một số điều khoản GDPR. Các khoản tiền phạt lớn nhất được đưa ra do không thực hiện đầy đủ các biện pháp bảo vệ dữ liệu trong quá trình thiết kế hệ thống và cài đặt mặc định:
Điều 25( 1): Phạt 130 triệu euro vì không tích hợp đầy đủ các biện pháp bảo vệ vào kiến trúc hệ thống của Facebook. Điều 25(2): Phạt 110 triệu euro vì không đủ biện pháp đảm bảo xử lý dữ liệu ở mức tối thiểu theo mặc định. Điều 33(3) và 33(5): Thêm 11 triệu euro vì cung cấp thông báo vi phạm không đầy đủ và không đầy đủ tài liệu về các biện pháp khắc phục.
Trong một tuyên bố, Phó ủy viên Graham Doyle giải thích: “Hành động thực thi này nêu bật việc không xây dựng các yêu cầu bảo vệ dữ liệu trong suốt chu trình thiết kế và phát triển có thể khiến các cá nhân gặp phải những rủi ro và tổn hại rất nghiêm trọng, bao gồm cả rủi ro đối với các quyền cơ bản và quyền tự do của cá nhân.
Hồ sơ Facebook có thể và thường chứa thông tin về các vấn đề như niềm tin tôn giáo hoặc chính trị, đời sống hoặc khuynh hướng tình dục cũng như các vấn đề tương tự mà người dùng chỉ có thể muốn tiết lộ trong những trường hợp cụ thể. Bằng cách cho phép tiết lộ trái phép thông tin hồ sơ, các lỗ hổng đằng sau hành vi vi phạm này đã gây ra nguy cơ nghiêm trọng cho việc sử dụng sai mục đích các loại dữ liệu này.”
Liên quan: Nhóm NOYB của Áo cáo buộc Microsoft vi phạm GDPR trong Giáo dục
Meta đã thông báo ý định kháng cáo quyết định này. Người phát ngôn của công ty cho biết: “Chúng tôi đã hành động ngay lập tức để khắc phục sự cố ngay khi nó được xác định và chúng tôi chủ động thông báo cho cả người dùng bị ảnh hưởng và người Ireland. Ủy ban bảo vệ dữ liệu.”
Trong khi Meta nhấn mạnh các biện pháp mà họ thực hiện để đối phó với hành vi vi phạm, các cơ quan quản lý cho rằng những hành động này không loại trừ những sai sót mang tính hệ thống của công ty trong các biện pháp bảo vệ dữ liệu của mình.
Lịch sử thất bại về quyền riêng tư dữ liệu và các hành vi phản cạnh tranh của Meta
Mức phạt 251 triệu euro là một phần trong khuôn mẫu rộng hơn của các hành động pháp lý chống lại Meta. Một trong những vụ bê bối về quyền riêng tư khét tiếng nhất của công ty, vụ Cambridge Analytica, liên quan đến việc thu thập dữ liệu trái phép từ 87 triệu người dùng Facebook.
Dữ liệu được sử dụng để gây ảnh hưởng đến các cuộc bầu cử, dẫn đến một thỏa thuận trị giá 725 triệu USD ở Hoa Kỳ. vụ kiện tập thể. Hậu quả từ Cambridge Analytica đã thay đổi vĩnh viễn nhận thức của công chúng về cam kết của Facebook đối với quyền riêng tư của người dùng.
Các khoản tiền phạt GDPR sau đó đã minh họa thêm cho các cuộc đấu tranh tuân thủ của Meta. Chúng bao gồm khoản phạt 390 triệu euro vì xử lý sai tài khoản Instagram của trẻ em và khoản tiền phạt kỷ lục 1,2 tỷ euro vào năm 2023 vì chuyển dữ liệu không đúng cách giữa EU và Hoa Kỳ. Nói chung, các trường hợp này nêu bật những điểm yếu thường xuyên xảy ra trong cách tiếp cận quyền riêng tư và bảo mật của Meta.
GDPR, được ban hành vào năm 2018, đã trở thành chuẩn mực toàn cầu về luật về quyền riêng tư, ảnh hưởng đến luật pháp ở các khu vực pháp lý như California. Theo GDPR, các công ty có thể phải đối mặt với mức phạt lên tới 4% doanh thu toàn cầu nếu không tuân thủ. Đối với Meta, cho đến nay đã bị phạt gần 3 tỷ euro do thực thi GDPR, quy định này đã tạo ra những thách thức đáng kể về tài chính và danh tiếng.
Ngoài EU, những rắc rối về quy định của Meta còn lan sang các khu vực khác. Tại Úc, công ty đã trả 50 triệu USD để chạy quảng cáo lừa đảo có sự góp mặt của các nhân vật của công chúng. Tại Anh, công ty phải đối mặt với mức phạt 50,5 triệu bảng vì vi phạm các quy tắc trong quá trình mua lại Giphy. Những trường hợp này phản ánh động lực toàn cầu ngày càng tăng nhằm buộc Big Tech phải chịu trách nhiệm về các hành vi vi phạm quyền riêng tư và cạnh tranh.
Có liên quan: Google không thể lật lại khoản tiền phạt chống độc quyền 2,4 tỷ euro của EU
Ý nghĩa đối với ngành công nghệ rộng hơn
Các khoản tiền phạt lặp đi lặp lại của Meta đóng vai trò như một câu chuyện cảnh báo cho ngành công nghệ. Khi các cơ quan quản lý trên toàn thế giới áp dụng luật bảo vệ dữ liệu chặt chẽ hơn, các công ty đang chịu áp lực ngày càng tăng trong việc ưu tiên quyền riêng tư của người dùng. Các cơ chế thực thi GDPR có khả năng truyền cảm hứng cho các khuôn khổ tương tự trên toàn cầu, buộc các công ty công nghệ phải áp dụng các biện pháp tuân thủ chủ động.
Tuy nhiên, những sai sót thường xuyên của Meta cho thấy các vấn đề quản trị sâu sắc hơn cần được giải quyết. Các nhà phê bình cho rằng việc công ty tập trung vào tăng trưởng và kiếm tiền thường phải trả giá bằng sự bảo mật của người dùng—một sự cân bằng mà các cơ quan quản lý và người tiêu dùng ngày càng không muốn chấp nhận.
Mặc dù Meta đã nỗ lực cải thiện cơ sở hạ tầng bảo mật của mình, nhưng nó lịch sử các khoản tiền phạt và vụ bê bối đặt ra câu hỏi về tính hiệu quả của các biện pháp này.
