盤點:近十年隱私保護與監管處罰大事記
責編:gltian |2023-07-06 15:40:08過去十年來,數據泄露和隱私侵犯事件激增。從社交媒體巨頭到金融機構,幾乎所有行業都遭到網絡犯罪分子窺視,蒙受了隱私保護措施不足的后果。
本文總結了2011年至今實施的隱私罰款、數據隱私法規的演變、備受關注的案例以及它們對企業和個人的影響。
2013年之前:數據隱私初入視野
數字時代伊始,隱私侵犯活動往往在公眾意識之外悄然運行,卻也日益引發關注。雖然技術快速進步、在線平臺紛紛投用,人們并沒有充分認識到個人數據處理不當的潛在風險。這一階段奠定了我們今天面臨的隱私格局——個人信息保護已經成為關鍵問題。
當時,隱私侵犯并沒有像現在這樣受到重點監管。但是,一些重大案例逐漸浮出水面,預示著那些未能保護個人數據的人會承擔哪些后果。這些案例包括:
- 2011年,索尼PlayStation:大約7700萬用戶的個人信息,包括姓名、地址、電子郵箱,甚至信用卡信息,落入黑客手中,總損失約1.7億美元。英國監管機構對此處以39.5萬美元罰款。這次數據泄露凸顯了個人數據脆弱性,也表明了加強安全措施的必要性。
- 2012年,谷歌:谷歌采集街景地圖數據時,中從不安全的Wi-Fi網絡收集個人數據,因此受到嚴格審查。幾個國家對這家科技巨頭的隱私侵犯行為進行罰款。其中,美國聯邦通信委員會處以2.5萬美元罰款。
與如今各類組織通常面臨的罰款相比,上述罰款金額較低。但是,它們在塑造隱私法規和公眾認知方面起到了重要作用。這些較早的罰款表明,隱私侵犯可能對個人和組織產生現實后果,促使人們更深入地理解隱私的價值。
隨著隱私侵犯和數據泄露的新聞不斷傳播,個人逐漸認識到在網上分享個人信息會帶來風險,并開始質疑他們的個人數據是否被安全收集、使用和共享。人們不再完全信任各類組織會負責任地處理個人數據,要求后者提供更強有力的隱私保護措施。
為了回應上述態勢,各國政府開始制定、完善隱私法規。他們意識到,必須創建法律框架,跟上不斷發展的技術,并應對數字時代的新興挑戰。
2013-2015年:數據隱私意識加強
2013至2015年間,公眾對隱私問題的意識發生較大轉變。隨著技術繼續快速發展,人們對個人數據安全的擔憂也日益增長。智能手機、社交媒體平臺和在線服務廣泛應用,導致個人信息的收集、共享和存儲數量呈指數級增長。日益增長的數據隱私意識促使個人、組織和政府更深入地審視隱私實踐,考慮采取更強有力的保護措施。
在這一時期,人們對隱私問題的意識不斷加強,數家侵犯隱私的組織被課以高額罰款。這些案例包括:
- 2013年,谷歌:美國聯邦貿易委員會(FTC)與谷歌達成和解協議——谷歌實施了欺騙性的追蹤行為,使用Cookie在未經用戶同意的情況下收集用戶數據;為此,這家科技巨頭支付了2250萬美元的罰款。這一里程碑事件在行業內引發巨大震動,說明數據收集實踐中必須保持透明,并獲取用戶許可。
- 2015年,安森保險:這家健康保險提供商遭遇數據泄露,近7880萬人的受保護健康信息(PHI)泄露。因為違反了《健康保險可移植性與責任法案》(HIPAA),安森保險支付了創紀錄的1600萬美元罰款。這次泄露事件對醫保行業敲響了警鐘,說明處理敏感患者數據時必須采取強大的安全措施。
- 2015年,AT&T:該公司位于墨西哥、哥倫比亞和菲律賓的呼叫中心的員工盜取了約28萬名美國客戶的姓名和完整或部分社會安全號碼。美國聯邦通信委員會(FCC)對該公司處以2500萬美元罰款,理由是其未能保護客戶的個人信息。截至當時,這是FCC針對數據安全和隱私侵犯問題開具的最高罰單。
這些事件充分說明,數據隱私和保護不到位會導致多么嚴重的后果。對這些事件的集體回應也為未來幾年制定更嚴格的隱私法規、加大對網絡安全的關注奠定了基礎。
2016-2018年:引入《通用數據保護條例》
歐洲議會通過《通用數據保護條例》(GDPR)。這是個人數據保護和隱私權保護方面的里程碑事件。GDPR做出了一些重要規定。比如,若發生數據泄露,數據控制者和處理者將面臨重罰;二者必須使用清晰明確的語言獲取數據使用許可;發現數據泄露后,二者必須72小時內通知受影響個人。
GDPR自2018年正式實施以來,對違規行為引入了更高額的罰款。發生最嚴重違規行為的組織,將面臨年度全球營業額的4%或2000萬歐元(以較高者為準)的罰單。這一措施促使許多組織和各國政府將數據保護置于優先位置,并努力增強隱私保護機制。
下面是這一時期一些備受關注的案例:
- 2016年,嘉德諾健康集團:該集團未能保護400萬名患者的電子受保護健康信息(ePHI)。美國衛生與公眾服務部民權辦公室(OCR)因未實施物理訪問控制、未采用適當安全政策以及多項其他違反《健康保險可移植性與責任法案》(HIPAA)的行為,對該集團處以550萬美元罰款。
- 2017年,Equifax:美國信用報告公司Equifax遭遇了一次大規模的數據泄露,導致1.47億名客戶的社會安全號碼被曝光。公司與美國聯邦貿易委員會(FTC)、美國消費者金融保護局(CFPB)以及50個州達成和解協議,支付總額達7億美元的賠償金。和解協議還要求艾貴發改進數據隱私實踐,并定期評估安全系統。
- 2018年,Facebook(Meta)和劍橋分析:這一時期,社交媒體巨頭Facebook和數據分析公司劍橋分析的數據隱私案件被廣泛報道。8700萬名Facebook用戶的個人數據在未經其同意的情況下被收集并用于政治目的。英國信息專員辦公室(ICO)對此開出50萬英鎊的罰單。這僅僅是一系列罰款中的第一筆。后續,美國聯邦貿易委員會(FTC)提出了更嚴厲的50億美元罰款。
2019-2021年:數據隱私“新常態”
GDPR實施后,許多國家效仿這一具有里程碑意義的法案,落實自己的隱私保護機制。因此,隱私法規的范圍擴大到了歐盟以外的地區。GDPR為全面的隱私法律樹立了先例,引發了全球性加強數據保護的運動。加州和巴西等地認識到有必要增強隱私權,并制定了自己的隱私保護法案。
加州《消費者隱私法案》(CCPA)和巴西《通用數據保護法》(LGPD)旨在為個人提供更多對其個人數據的控制權,為處理這些數據的組織制定了指南。在數字時代,隱私被認為是一項基本權利,監管也在同步發展。
隨著隱私保護范圍的全球化,一些組織因隱私違規行為受到重大罰款和處罰。這些案例包括:
- 2019年,谷歌:法國國家信息與自由委員會(CNIL)對谷歌處以5000萬歐元的罰款,理由是谷歌在個性化廣告方面存在透明度不足、信息不充分和未得到許可等多項違規行為。罰款依據是谷歌未能遵守GDPR關鍵條款,包括第13條(從數據主體收集數據時應提供的信息)、第14條(未從數據主體獲得個人數據時應提供的信息)、第6條(數據處理合法性)、第5條(個人數據處理原則)。CNIL的決定說明,谷歌未能遵守GDPR關于數據保護和隱私的重要規定。
- 2019,萬豪:一次網絡攻擊曝光超過3.39億名客戶記錄的個人數據。隨后,英國信息專員辦公室(ICO)因萬豪國際違反GDPR對其處以1840萬英鎊的罰款。ICO調查發現,萬豪國際在收購喜達屋酒店集團時,未能進行充分的盡職調查,并未實施適當的安全和隱私保護措施。
- 2020年,英國航空公司:英航未能保護超過40萬名客戶的個人信息,ICO對其處以2600萬美元的罰款。調查發現,該航空公司處理大量個人數據時未采取足夠的安全措施。這一失誤違反了數據保護法。后果是,2018年發生的一次網絡攻擊,超過2個月才被英航發現。
- 2020年,H&M:2020年,H&M因非法監視員工被德國漢堡數據保護機構罰款3500萬歐元。該公司在員工休假后的復工會議進行錄音,存儲了過多個人數據。這些數據可被50多名管理人員訪問。該行為違反了GDPR第5條和第6條有關數據最小化和合法處理的規定。這筆罰款警告各大組織,必須尊重員工隱私,并遵守GDPR相關規定。
- 2021年,亞馬遜:盧森堡國家數據保護委員會(CNDP)對亞馬遜處以迄今為止最高額的GDPR罰款,金額達到7.46億歐元(8.88億美元)。CNPD調查了亞馬遜處理客戶個人數據的方式,發現廣告投放系統存在違規行為——該系統未獲得適當許可,即悄然運行。
- 2021年,WhatsApp:WhatsApp是隸屬于Meta的即時通訊服務應用。愛爾蘭數據保護委員會(DPC)發現其未向歐洲用戶告知個人信息的收集和使用方式,并與Meta共享數據,對其處以2.25億歐元的GDPR罰款。
這些罰款累積影響大,削弱了消費者信任。這迫使企業重新評估數據處理實踐,大幅加強合規性、隱私和安全措施的投入。
2022-2023年:隱私成為焦點
過去十年里,隱私監管發展迅猛,對全球商業事務的影響倍增。2022-2023年間,隱私罰款變得更加嚴厲和高昂,表明各大組織正面臨日益嚴格的審查和執法。保護個人數據、嚴格落實數據保護措施不再是錦上添花,而是基本要求。這一事實在以下重大隱私罰款案例中得到體現:
- 2022年,Instagram:愛爾蘭數據保護委員會(DPC)調查社交網絡應用Instagram的兒童數據處理情況,隨后對其處以4.02億美元的罰款。調查重點關注13至17歲用戶操作的商業賬戶,這些賬戶允許公開用戶電話號碼和/或電子郵箱,引發了對未成年人個人信息保護的擔憂。
- 2022年,Clearview AI:法國監管機構CNIL發現面部識別公司Clearview AI非法處理并刪除法國公民的數據,為此對其罰款2200萬歐元。
- 2023年,Meta:歐盟監管機構最近對Meta處以12億歐元(13億美元)的創紀錄罰款,理由是其違反了歐盟隱私法律。違規行為包括,將Facebook用戶的個人數據轉移至位于美國的服務器。這筆罰款由歐洲數據保護委員會決定并公布,決定依據是DPC的調查。DPC是負責監管Meta在歐洲運營的主要機構。
參考資料:https://bigid.com/blog/top-20-defining-privacy-payouts/
來源:安全內參