近年來對數(shù)據(jù)泄露的重大罰款表明，監(jiān)管機(jī)構(gòu)越來越重視打擊那些未能妥善保護(hù)消費(fèi)者數(shù)據(jù)的公司。

因非法將個(gè)人數(shù)據(jù)從歐盟轉(zhuǎn)移到美國，Meta 被罰款13億美元，高居近期大額制裁的榜首，而另一家中國公司滴滴出行因違反該國數(shù)據(jù)保護(hù)法而被處以十位數(shù)的罰款。第三大罰款是亞馬遜在2021年因違反歐洲的通用數(shù)據(jù)保護(hù)條例(GDPR)而被罰款8.77億美元。

以下是因數(shù)據(jù)泄露或不遵守安全與隱私法律而被評估的最大罰款和處罰。

1. Meta (Facebook)：13億美元

2023年5月，愛爾蘭數(shù)據(jù)保護(hù)委員會(DPC)結(jié)束了對Meta平臺愛爾蘭有限公司(“Meta Ireland”)的一項(xiàng)調(diào)查，該調(diào)查始于2020年8月，因違反GDPR，向這家社交媒體巨頭開出了12億歐元(即13億美元)的罰單。關(guān)于GDPR第46(1)條，愛爾蘭隱私監(jiān)管機(jī)構(gòu)指責(zé)Meta Ireland在提供其Facebook服務(wù)時(shí)，未能在將個(gè)人數(shù)據(jù)從歐盟或歐洲經(jīng)濟(jì)區(qū)(EEA)轉(zhuǎn)移到美國的過程中提供足夠的數(shù)據(jù)隱私保護(hù)。Meta的全球事務(wù)總裁尼克·克萊格(Nick Clegg)表示：“我們打算對決定的實(shí)質(zhì)內(nèi)容及其命令提出上訴，包括罰款，并將通過法院尋求暫停執(zhí)行期限?！?/p>

2. 滴滴出行：11.9億美元

中國網(wǎng)約車公司滴滴出行被中國網(wǎng)絡(luò)空間管理局罰款80.26億元人民幣(約合11.9億美元)，理由是該公司違反了國家的網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法。滴滴出行在一份聲明中表示，接受網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)的決定，此決定是在對該公司長達(dá)一年的安全實(shí)踐和“涉嫌非法活動”調(diào)查后作出的。

3. 亞馬遜：8.77億美元

2021年夏季，零售巨頭亞馬遜的財(cái)務(wù)記錄顯示，盧森堡官員對其開出了7.46億歐元(當(dāng)時(shí)約合8.77億美元)的罰款，原因是違反了GDPR。亞馬遜預(yù)計(jì)會對這一罰款提出上訴，一位發(fā)言人表示：“沒有發(fā)生數(shù)據(jù)泄露，也沒有客戶數(shù)據(jù)暴露給任何第三方?！碧崞鹱畛鯏?shù)據(jù)保護(hù)投訴的法國數(shù)字權(quán)利組織La Quadrature du Net代表了10165名個(gè)人投訴人于2018年5月提出指控，稱這并不令人意外，因?yàn)槠溟L達(dá)19頁的投訴針對的是亞馬遜在未獲得充分同意的情況下運(yùn)營行為廣告系統(tǒng)，而非偶發(fā)的個(gè)人數(shù)據(jù)泄露。

4. Equifax：至少5.75億美元

2017年，由于其數(shù)據(jù)庫中一個(gè)未修補(bǔ)的Apache Struts框架， Equifax丟失了近1.5億人的個(gè)人和財(cái)務(wù)信息。公司在發(fā)布補(bǔ)丁數(shù)月后未能修復(fù)一個(gè)關(guān)鍵漏洞，然后在發(fā)現(xiàn)漏洞數(shù)周后未能向公眾通報(bào)。

2019年7月，這家信用評估機(jī)構(gòu)同意支付5.75億美元——可能上升至7億美元——與聯(lián)邦貿(mào)易委員會(FTC)、消費(fèi)者金融保護(hù)局(CFPB)以及所有50個(gè)美國州和地區(qū)就公司“未采取合理步驟保護(hù)其網(wǎng)絡(luò)”達(dá)成和解。

其中3億美元將用于一個(gè)基金，為受影響的消費(fèi)者提供信用監(jiān)控服務(wù)(如果初始支付不足以賠償消費(fèi)者，將增加1.25億美元)，1.75億美元將支付給48個(gè)州、哥倫比亞特區(qū)和波多黎各，以及1億美元將支付給消費(fèi)者金融保護(hù)局(CFPB)。此外，和解還要求該公司每兩年獲得一次第三方對其信息安全程序的評估。

聯(lián)邦貿(mào)易委員會(FTC)主席喬·西蒙斯(Joe Simons)表示：“從個(gè)人信息中獲利的公司有額外的責(zé)任來保護(hù)和確保這些數(shù)據(jù)的安全?！薄癊quifax未采取可能防止影響約1.47億消費(fèi)者的數(shù)據(jù)泄露的基本措施?！?/p>

Equifax因2017年的數(shù)據(jù)泄露在英國已被罰款50萬英鎊(約合62.5萬美元)，這是GDPR實(shí)施前數(shù)據(jù)保護(hù)法1998所允許的最高罰款。

2020年，Equifax因該數(shù)據(jù)泄露事件支付了進(jìn)一步的和解款項(xiàng)：775萬美元(加上200萬美元的法律費(fèi)用)支付給美國的金融機(jī)構(gòu)，以及分別向馬薩諸塞州和印第安納州支付1820萬美元和1950萬美元。

5. Meta(Facebook, Instagram)：4.13億美元

在GDPR開始實(shí)施的當(dāng)天(2018年5月25日)，愛爾蘭數(shù)據(jù)保護(hù)委員會(DPC)對Meta在歐洲地區(qū)的數(shù)據(jù)處理操作進(jìn)行了兩次調(diào)查，2023年1月宣布發(fā)現(xiàn)Meta平臺在提供其Facebook和Instagram服務(wù)時(shí)違反了GDPR。Meta Ireland因Facebook違規(guī)被罰款2.1億歐元(2.25億美元)，因Instagram違規(guī)被罰款1.8億歐元(1.93億美元)。

Meta在處理Facebook和Instagram服務(wù)的數(shù)據(jù)時(shí)被發(fā)現(xiàn)違反了多條GDPR規(guī)定，包括第5條(1)款a)、第6條(1)款、第12條以及第13條(1)款c)，這些違規(guī)涉及透明度和信息義務(wù)的破壞。

6. Instagram：4.03億美元

2022年9月，愛爾蘭數(shù)據(jù)保護(hù)委員會(DPC)因Instagram違反GDPR規(guī)定下的兒童隱私條款而對其處以罰款。這一長期投訴涉及未成年人的數(shù)據(jù)，特別是電話號碼和電子郵件地址，這些數(shù)據(jù)在一些年輕用戶將其個(gè)人資料升級為商業(yè)賬戶以訪問分析工具(如訪客概覽)時(shí)被更公開地展示。

Instagram的所有者M(jìn)eta表示計(jì)劃對該決定提出上訴?！斑@次調(diào)查關(guān)注的是我們一年多前就更新過的舊設(shè)置，自那以后我們已經(jīng)推出了許多新功能來幫助保護(hù)青少年的安全和隱私?！币晃籑eta官員告訴BBC新聞。“雖然我們在整個(gè)調(diào)查過程中與DPC充分合作，但我們不同意這次罰款的計(jì)算方式，并打算對其提出上訴?！?/p>

國家防止虐待兒童協(xié)會(NSPCC)的在線兒童安全政策負(fù)責(zé)人安迪·伯羅斯(Andy Burrows)表示：“這是一次重大違規(guī)，具有重要的安全保障意義，并可能對使用Instagram的兒童造成真正的傷害。這一裁決展示了有效的執(zhí)法如何保護(hù)社交媒體上的兒童，并強(qiáng)調(diào)了監(jiān)管已經(jīng)在使兒童在線環(huán)境更安全?！?/p>

7. TikTok：3.45億歐元(3.7億美元)

2023年9月，愛爾蘭數(shù)據(jù)保護(hù)委員會(DPC)根據(jù)GDPR法律，對TikTok處以3.45億歐元(3.7億美元)的罰款，原因是侵犯了兒童數(shù)據(jù)隱私。DPC發(fā)現(xiàn)TikTok在其隱私設(shè)置方面對兒童的透明度不足，并對其數(shù)據(jù)處理方式提出了疑問。

此調(diào)查旨在審查在2020年7月31日至2020年12月31日期間，TikTok在處理涉及其平臺兒童用戶的個(gè)人數(shù)據(jù)時(shí)，其在以下方面遵守GDPR義務(wù)的程度：

• TikTok平臺的某些設(shè)置，包括默認(rèn)公開設(shè)置以及與家庭配對功能相關(guān)的設(shè)置。
• 注冊過程中的年齡驗(yàn)證。

“作為調(diào)查的一部分，DPC還審查了TTL的某些透明度義務(wù)，包括向兒童用戶提供有關(guān)默認(rèn)設(shè)置的信息的程度，”IDC表示。DPC的決定于2023年9月1日通過，記錄了違反GDPR第5條(1)款(c)、(f)、第24條(1)款、第25條(1)款、(2)款、第12條(1)款、第13條(1)款(e)及第5條(1)款(a)的發(fā)現(xiàn)，涉及數(shù)據(jù)安全、數(shù)據(jù)保護(hù)設(shè)計(jì)和數(shù)據(jù)處理等一系列問題。

一位社交媒體公司的發(fā)言人對媒體表示，“我們對這一決定表示尊重地不同意，特別是對所施加罰款的數(shù)額?！?/p>

8. T-Mobile：3.5億美元

2022年7月，移動通信巨頭T-Mobile宣布了一項(xiàng)合并的集體訴訟和解條款，此前在2021年初發(fā)生的數(shù)據(jù)泄露影響了估計(jì)7700萬人。該事件中心在于“未經(jīng)授權(quán)的訪問”T-Mobile的系統(tǒng)，此后部分客戶數(shù)據(jù)在一個(gè)已知的網(wǎng)絡(luò)犯罪論壇上被掛出出售。根據(jù)一份證券交易委員會(SEC)的文件，披露了T-Mobile將支付總計(jì)3.5億美元，以資助提交的訴訟成員的索賠、原告律師的法律費(fèi)用以及管理和解的費(fèi)用。該公司還承諾在2022年和2023年為數(shù)據(jù)安全及相關(guān)技術(shù)額外投入1.5億美元。

“公司預(yù)期，一旦法院批準(zhǔn)，和解將全面解決因網(wǎng)絡(luò)攻擊而產(chǎn)生的所有索賠，適用于未選擇退出的集體訴訟成員針對所有被告的索賠，包括公司、其子公司和關(guān)聯(lián)公司以及其董事和高級職員，”文件中寫道?！霸摵徒獠话魏伪桓娴呢?zé)任、不當(dāng)行為或責(zé)任的承認(rèn)。集體訴訟成員包括所有在數(shù)據(jù)泄露中個(gè)人信息受到泄露的個(gè)人，受協(xié)議中規(guī)定的某些例外情況的限制。公司認(rèn)為，擬議和解的條款與處理類似類型索賠的其他和解一致，”文件補(bǔ)充道。

9. Meta (Facebook)：2.77億美元

2022年11月，愛爾蘭數(shù)據(jù)保護(hù)委員會(DPC)因5億用戶的個(gè)人信息泄露，對Meta處以2.77億美元(2.65億歐元)的罰款。DPC于2021年4月14日啟動了這項(xiàng)調(diào)查，此前有報(bào)道稱一組Facebook個(gè)人數(shù)據(jù)被整理后在互聯(lián)網(wǎng)上公開。此次調(diào)查的范圍包括對Facebook搜索、Facebook Messenger聯(lián)系人導(dǎo)入工具和Instagram聯(lián)系人導(dǎo)入工具在Meta Platforms Ireland Limited(“MPIL”)在2018年5月25日至2019年9月期間的數(shù)據(jù)處理進(jìn)行審查和評估。“這次調(diào)查的主要問題涉及遵守?cái)?shù)據(jù)保護(hù)設(shè)計(jì)和默認(rèn)的GDPR義務(wù)的合規(guī)性問題，”DPC寫道。“DPC檢查了根據(jù)GDPR第25條(涉及這一概念)實(shí)施的技術(shù)和組織措施。此次全面調(diào)查過程包括與歐盟內(nèi)所有其他數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的合作。這些監(jiān)管機(jī)構(gòu)都同意了DPC的決定。”

該決定施加了譴責(zé)，并下達(dá)了一項(xiàng)命令，要求MPIL通過在特定時(shí)間范圍內(nèi)采取一系列指定的補(bǔ)救措施，使其處理活動符合合規(guī)要求。

10. WhatsApp：2.55億美元

2021年8月，F(xiàn)acebook旗下的消息服務(wù)WhatsApp因在愛爾蘭涉及一系列GDPR跨境數(shù)據(jù)保護(hù)違規(guī)行為被罰款2.25億歐元(2.55億美元)。這次罰款是在一項(xiàng)始于2018年的漫長調(diào)查和執(zhí)行過程之后作出的，期間愛爾蘭數(shù)據(jù)保護(hù)委員會提出的決定和制裁被其歐洲數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)同行駁回，最終提交給歐洲數(shù)據(jù)保護(hù)委員會并作出裁決。指控焦點(diǎn)是針對WhatsApp服務(wù)的用戶和非用戶的投訴，涉及違反GDPR第12、13和14條關(guān)于透明度和數(shù)據(jù)主體信息義務(wù)的指控。

11. Home Depot：約2億美元

2014年，Home Depot卷入了迄今為止涉及銷售點(diǎn)(POS)系統(tǒng)的最大數(shù)據(jù)泄露事件之一，導(dǎo)致支付了多筆罰款和和解款。第三方的盜用憑證使攻擊者能夠進(jìn)入Home Depot的網(wǎng)絡(luò)，提升權(quán)限，并最終侵入POS系統(tǒng)。在2014年4月至9月的五個(gè)月時(shí)間內(nèi)，有超過5000萬張信用卡號和5300萬個(gè)電子郵件地址被盜。

據(jù)報(bào)道，由于這次數(shù)據(jù)泄露，Home Depot至少向信用卡公司和銀行支付了1.345億美元。此外，2016年Home Depot同意向受泄露影響的客戶支付1950萬美元，其中包括為泄露受害者提供信用監(jiān)控服務(wù)的費(fèi)用。2017年，該公司同意向受泄露影響的金融機(jī)構(gòu)支付額外的2500萬美元，受害者可以索賠，用以覆蓋銀行的損失。

數(shù)據(jù)泄露可能帶來長期的成本，尤其是在罰款和和解方面。2020年11月，這家零售商向46個(gè)美國州和華盛頓特區(qū)支付了進(jìn)一步的1750萬美元和解款。該協(xié)議還要求Home Depot雇傭一名高資質(zhì)的首席信息安全官(CISO)，為關(guān)鍵人員提供安全培訓(xùn)，并確保在身份和訪問、監(jiān)控以及事件響應(yīng)等領(lǐng)域?qū)嵤┌踩刂坪驼摺?/p>

12. Capital One：1.9億美元

2021年12月，Capital One同意支付1.9億美元，以和解一起針對其2019年數(shù)據(jù)泄露事件的集體訴訟，該事件影響了1億人。這起和解是在美國貨幣監(jiān)理署因同一數(shù)據(jù)泄露對Capital One罰款8000萬美元一年多后達(dá)成的(見下文)。

一名AWS的軟件工程師發(fā)動了這次攻擊，泄露了包括銀行賬戶詳情在內(nèi)的信息?！半m然Capital One和AWS否認(rèn)所有責(zé)任，但為了避免繼續(xù)訴訟的時(shí)間、費(fèi)用和不確定性，原告和Capital One已簽署了一份包含集體和解的基本條款的協(xié)議單，如果得到本法院的批準(zhǔn)，將完全解決原告提出的所有索賠，”一份提交給弗吉尼亞東區(qū)聯(lián)邦地區(qū)法院的文件中寫道。在一份電郵聲明中，Capital One表示，自兩年多前與聯(lián)邦當(dāng)局協(xié)調(diào)宣布此事件以來，案件的關(guān)鍵事實(shí)沒有變化，黑客已被逮捕，被盜數(shù)據(jù)在被傳播或用于欺詐目的之前已被找回。“我們很高興已達(dá)成協(xié)議，將解決在美國的消費(fèi)者集體訴訟，”公司補(bǔ)充道。

13. Uber：1.48億美元

2016年，叫車應(yīng)用Uber有60萬司機(jī)和5700萬用戶賬戶被侵犯。公司沒有報(bào)告這一事件，而是支付了10萬美元給肇事者以掩蓋此次黑客攻擊。然而，這些行為使公司付出了沉重的代價(jià)。2018年，該公司因違反州數(shù)據(jù)泄露通知法被罰款1.48億美元——當(dāng)時(shí)是歷史上最大的數(shù)據(jù)泄露罰款。

14. 摩根士丹利：1.2億美元(總計(jì))

2022年1月，投資銀行和金融服務(wù)巨頭摩根士丹利同意支付6000萬美元，以解決一項(xiàng)與其數(shù)據(jù)安全相關(guān)的法律索賠。這項(xiàng)協(xié)議，如果得到曼哈頓聯(lián)邦法官的批準(zhǔn)，將解決一起于2020年7月針對該公司提起的集體訴訟，該訴訟涉及兩次安全漏洞，影響了大約1500萬客戶的個(gè)人數(shù)據(jù)。據(jù)索賠人稱，摩根士丹利未能保護(hù)現(xiàn)有客戶和前客戶的個(gè)人身份信息(PII)。據(jù)稱，該公司在2016年和2019年報(bào)廢的數(shù)據(jù)中心設(shè)備未被有效清除數(shù)據(jù)，且由于軟件缺陷，未加密的敏感數(shù)據(jù)對購買該設(shè)備的人可見。

這項(xiàng)擬議的索賠和解是在摩根士丹利被貨幣監(jiān)理署(OCC)就同一事件處以6000萬美元民事罰款一年多后提出的。OCC指出，摩根士丹利未能“對2016年位于美國的兩個(gè)財(cái)富管理業(yè)務(wù)數(shù)據(jù)中心的退役工作進(jìn)行適當(dāng)監(jiān)督。包括未能有效評估或解決與硬件退役相關(guān)的風(fēng)險(xiǎn);未能充分評估包括選擇供應(yīng)商和監(jiān)控其表現(xiàn)在內(nèi)的外包退役工作的風(fēng)險(xiǎn);未能保持對退役硬件設(shè)備上存儲的客戶數(shù)據(jù)的適當(dāng)清單?！監(jiān)CC補(bǔ)充道，2019年，銀行在退役存儲客戶數(shù)據(jù)的其他網(wǎng)絡(luò)設(shè)備時(shí)，經(jīng)歷了類似的供應(yīng)商管理控制缺陷。

摩根士丹利在最近的和解協(xié)議聲明中表示：“我們之前已就這些發(fā)生在幾年前的事件通知了所有可能受影響的客戶，并很高興能夠解決這起相關(guān)訴訟?！?/p>

15. Google Ireland：1.02億美元

2022年1月6日，Google Ireland 被法國數(shù)據(jù)保護(hù)機(jī)構(gòu)CNIL罰款9000萬歐元(1.02億美元)。這次罰款與Google在歐洲分支機(jī)構(gòu)在YouTube上實(shí)施cookie同意程序的方式有關(guān)。CNIL寫道：“CNIL收到了許多關(guān)于在google.fr和youtube.com網(wǎng)站上拒絕cookie的方式的投訴?！? “2021年6月，CNIL對這些網(wǎng)站進(jìn)行了在線調(diào)查，發(fā)現(xiàn)雖然這些網(wǎng)站提供了一個(gè)按鈕可以立即接受cookie，但沒有實(shí)施等效的解決方案(按鈕或其他方式)使用戶同樣容易地拒絕cookie。拒絕所有cookie需要多次點(diǎn)擊，而接受它們只需一次點(diǎn)擊?！毕拗菩晕瘑T會認(rèn)為這一過程影響了互聯(lián)網(wǎng)用戶的同意自由，并構(gòu)成了對法國數(shù)據(jù)保護(hù)法第82條的侵犯。