Facebook的迟到漏洞时间披露提出了GDPR合规性问题

2021-04-08 01:33:15

虽然它最初试图在周末发表的数据漏洞启示,但通过暗示人们的出生日期和电话号码是“老”的信息,昨天在昨天晚期的博客帖子中终于透露了有问题的数据事实上,由于2019年“和”2019年9月“之前的”2019年“和”在2019年9月“之前已经从其平台上刮了。

关于这一事件的时间的新细节提出了遵守欧洲一般数据保护条例(GDPR)的问题 - 该规定于2018年5月申请。

根据欧盟规定,数据控制器可以面临全球年度营业额的最高2%的罚款,以便对违规行为通知违规行动,高达年度营业额的4%,以获得更严重的合规性违规行为。

欧洲框架看起来很重要,因为Facebook在2019年7月偿还了美国FTC的历史隐私问题,虽然这仍然意味着有几个月(2019年6月)可能会堕落的时间外面的解决方案。

@facebook过去的FTC结算赔偿期(2019年6月12日),他们也可能违反了要求他们报告有关信息违约(HT @Justinbrookman)HTTPS://t.co/的定居点的条款182Lef4rno pic.twitter.com/utcnq4ushi.

昨天,在自己的声明中回应了违规启示,欧盟的铅数据主管表示,新出版的数据集的出处并不完全清楚,写作它“似乎包括原始2018年(前gdpr)数据集” - 参考2018年的早期违规事件Facebook,它与其在2017年6月至2018年6月期间发生的电话查找功能中的漏洞 - 但也写的是新出版的数据集也看着“额外的数据集记录,可能是稍后的时期“。

Facebook通过确认怀疑 - 承认数据从2019年从其平台提取到2019年的平台中提取,截至今年9月,以至于,Facebook跟进了爱尔兰数据保护委员会(DPC)的声明。

在Facebook的博客文章中昨天出现的另一个新细节是用户的数据未通过上述手机查找漏洞刮擦 - 但通过另一个方法完全通过:Contact Importer工具漏洞。

这条路线允许未知数量的“恶意演员”使用软件模仿Facebook的应用程序并上传大量的电话号码,以查看哪些符合Facebook用户。

通过这种方式,垃圾邮件发送者(例如),可以上传潜在电话号码的数据库,并不仅为名称,而是像出生日期,电子邮件地址,位置一样的其他数据 - 可以使用。

在其公关对违规的回应中,Facebook迅速声称它在2019年8月来解决了这一漏洞。但是,同样,该时序将事件放在GDPR活跃的时期。

作为提醒,欧洲的数据保护框架烘焙在数据泄露通知制度中,需要数据控制器如果他们认为个人数据的损失可能构成用户权利和自由的风险,那么就会通知相关的监督机构 - 并这样做没有过度的延迟(理想情况下,理想的72小时内)。

然而,Facebook在所有这一事件上都没有披露DPC。实际上,监管机构昨天澄清说,它必须在BI的报告之后积极寻求Facebook的信息。这就是欧盟立法者如何打算制定功能的相反。

同时,数据泄露在GDPR下广泛定义。它可能意味着个人数据被未经授权的第三方丢失或被盗和/或访问。它还可以通过公开个人数据的数据控制器进行故意或意外操作或无所作为。

违规的法律风险可能解释了为什么Facebook习惯于描述这种最新的数据保护失败,其中在一个在线论坛上发布了超过一半用户的个人信息,以便在线论坛下载为“违规”。

事实上,为什么它试图贬低泄露的信息的重要性 - 配音人的个人信息“旧数据”。 (即使有很少的人经常改变他们的手机号码,电子邮件地址,全名和传记信息等,也没有人(合法)获得新的出生日期......)

它的博客文章是指被刮的数据;并缩短了“通常依赖于自动化软件的常见策略,以从互联网上提升公共信息,这些信息最终可以在在线论坛中分发” - 默认暗示通过其联系进口商工具泄露的个人信息是以某种方式公开的。

Facebook在这里扣除的自我服务建议是,数亿位用户在他们的Facebook配置文件上曾像他们的手机号码一样,他们的帐户上留下了默认设置 - 从而使这个个人信息“公开可用于刮擦/不再私有/通过数据保护立法揭露“。

这是一个显然荒谬的论据,因为它对人们的权利和隐私感到悄然。这也是一个论点,即欧盟数据保护监管机构必须快速,明确地拒绝或在允许Facebook(AB)使用其市场权力来攻击监管机构的唯一目的是捍卫和维护的基本权利。

即使受此漏洞影响的某些Facebook用户通过Contact Importer工具曝光的信息,因为它们没有更改Facebook的隐私敌对默认值,仍会引发GPDR合规性的关键问题 - 因为该规则还需要数据控制器充分保护个人数据和通过设计和默认应用隐私。

Facebook允许数亿个帐户通过垃圾邮件发送者(或者是谁)自由掠夺的信息并不像良好的安全或默认隐私。

Facebook试图在隐私和数据保护中逃避令人难以置信,因为过去已经太可怕了 - 并且可能对保持这种策略的信心感到有信心,因为它面临着相对较少的监管制裁,用于无尽的数据游行丑闻。 (每年的零售价值超过850亿美元+的一次性罚款只是另一种商业费用。)

我们问Facebook为什么它未能通知DPC在2019年在2019年回归2019年,当它实现人们的信息再次从其平台中解从了一次 - 或者,确实是为什么它没有打扰,告诉影响Facebook用户自己 - 但该公司拒绝评论昨天所说的。

在GDPR下,如果违规对用户的权利造成了高风险,并且自由地向受影响的人通知数据控制器 - 具有理性的是,威胁通知威胁可以帮助人们采取措施保护自己免受他们的风险保护自己的措施被违反的数据,例如欺诈和身份证盗窃。

也许公司的商标'竖起大拇指'符号将更恰当地表达,因为在其他人中抚养了中指。