一次隐私投诉如何演变成 4.05 亿欧元 GDPR 罚单

一次隐私投诉如何演变成 4.05 亿欧元 GDPR 罚单

Kaamel Lab
Kaamel Lab 2022年10月10日

2019年2月,数据科学家大卫·斯蒂尔给 Meta 发邮件,报告 Instagram 网页 HTML 源码里泄露了大量用户个人信息,其中包括青少年儿童的联系方式。Meta 客服却与他争辩,称这是正常功能、未予重视。交涉四个月无果后,斯蒂尔把发现转报爱尔兰数据保护委员会(DPC)。三年后尘埃落定:Instagram 因违反 GDPR 儿童隐私规定被处以4.05亿欧元罚款。一封被轻视的普通投诉邮件,最终演变成一笔4.05亿欧元的 GDPR 罚单。

TL;DR

一封被轻视的邮件

斯蒂尔报告的问题是:Instagram 商用账户开通后,邮箱和电话号码会被写入网页 HTML 源码,任何人查看源码即可获取,其中包含13-17岁儿童用户的联系方式。Meta 人员当时认为这不是问题、是正常功能。正是这种对外部反馈的“麻木”,让一个本可在补救期内低成本修复的问题,顺藤摸瓜牵出一连串合规缺陷。此案的法律层面初步分析见 Instagram 4.05 亿欧元罚单(一),整改实测见 默认私密是否落地(二)

处罚金额按条款拆分

DPC 经三年调查认定两项违规,并在判决报告中给出各条款对应金额。

默认13-17岁儿童账户初始状态为“公开”:

违反条款处罚金额(欧元)
Article 12(1)1亿
Article 35(1)4500万
Article 5(1)(c) 和 25(2)2500万
Article 25(1)2500万

在 HTML 源码上显示13-17岁儿童用户联系方式:

违反条款处罚金额(欧元)
Article 12(1)7000万
Article 5(1)(a)2500万
Article 35(1)4500万
Article 5(1)(c) 和 25(2)2500万
Article 25(1)2500万
Article 6(1)2000万

逐条违规解析

Article 12(1) 要求以简洁、透明、易懂的清晰语言提供信息,对儿童尤其如此。Meta 有两处违规:未清晰告知儿童用户账户默认公开;在2019年9月4日前,未用清晰语言说明处理目的与数据接收方类别,就在 HTML 源码披露了企业账户的邮箱和电话。

Article 35(1) 要求处理前评估数据保护影响(DPIA),判断处理是否可能对自然人权利自由造成高风险。DPC 认为,处理儿童邮箱电话、以及默认允许任何人查看儿童帖子都可能造成高风险,而 Meta 未对这两类处理做评估。

Article 25(1) 要求综合技术水平、成本、处理性质范围目的与风险后,采取合适的技术与措施并整合必要保障。由于未适当考虑上述风险,Meta 也未采取相应措施,违反该条。

Article 5(1)(a) 要求以合理、透明方式处理数据。Meta 虽在2019年9月把企业账户联系信息从“必需公开”改为“自选公开”,但未充分告知此前已开通企业账户的儿童用户可取消公开,处理方式对这批用户不够合理透明。

Article 5(1)(c) 与 Article 25(2) 要求数据最小化与默认数据保护。DPC 认为 Meta 未采取措施确保默认情况下处理个人信息以“符合目的且必要”为前提。围绕“是否必要”,DPC 做了大篇幅平衡测试,考量因素包括:收集的信息类型;范围与涉及数据主体数量;数据主体的实际利益;是否存在替代手段;评估的性质和范围;数据主体年龄;是否有充分的额外保障(如退出机制);合适性与透明度。

对出海企业的启示

Instagram 一案说明,体系再健全的公司也可能因一次人为失误被调查,而调查往往顺藤摸瓜带出一连串问题,最终损失惨重。合规更像定期体检:长期对外部反馈不闻不问,小毛病积攒成大麻烦,越晚处理代价越大。对出海企业而言,既要在发现问题时及时纠正,也要前瞻性部署——把用户与研究者的隐私反馈纳入正式处理流程、第一时间由专业人士评估影响并确定解决时限,比事后整改的性价比高得多。同类的儿童数据高额罚单,还可参考 TikTok 3.45 亿欧元儿童数据罚款Musical.ly 570 万美元 COPPA 案

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.