Đặt lại đồng hồ của bạn: Meta đã phải chịu một hình phạt về quyền riêng tư khác ở Châu Âu. Vào thứ sáu, Ủy ban Bảo vệ Dữ liệu (DOC) của Ireland đã công bố hình phạt khiển trách và khoản tiền phạt 91 triệu euro — khoảng 101,5 triệu đô la theo tỷ giá hối đoái hiện tại — sau khi kết thúc cuộc điều tra kéo dài nhiều năm về vi phạm bảo mật năm 2019 của công ty mẹ Facebook.
DPC đã mở một cuộc điều tra theo luật định về sự cố nói trên vào tháng 4 năm 2019 theo Quy định bảo vệ dữ liệu chung (GDP) của khối sau khi Meta, hay Facebook như công ty vẫn được gọi vào thời điểm đó, thông báo rằng "hàng trăm triệu" mật khẩu của người dùng đã được lưu trữ dưới dạng văn bản thuần túy trên máy chủ của công ty.
Sự cố bảo mật là vấn đề pháp lý ở Liên minh Châu Âu vì GDPR yêu cầu dữ liệu cá nhân phải được bảo mật phù hợp.
Sau khi điều tra, DPC đã kết luận rằng Meta không đáp ứng được tiêu chuẩn pháp lý của khối vì mật khẩu không được bảo vệ bằng mã hóa. Điều này tạo ra rủi ro vì bên thứ ba có khả năng truy cập vào thông tin nhạy cảm của mọi người được lưu trữ trong tài khoản mạng xã hội của họ.
Cơ quan quản lý, đơn vị chịu trách nhiệm giám sát việc tuân thủ GDP của Meta, cũng phát hiện Meta đã vi phạm các quy tắc khi không thông báo về vi phạm trong khung thời gian bắt buộc (quy định thường quy định rằng việc báo cáo vi phạm phải diễn ra chậm nhất là 72 giờ sau khi phát hiện ra vi phạm). Theo DPC, Meta cũng không ghi chép đúng về vi phạm.
Bình luận trong một tuyên bố, phó ủy viên Graham Doyle đã viết: "Người ta chấp nhận rộng rãi rằng mật khẩu người dùng không nên được lưu trữ ở dạng văn bản thuần túy, xét đến rủi ro bị lạm dụng phát sinh từ những người truy cập dữ liệu đó. Cần lưu ý rằng, mật khẩu là chủ đề được xem xét trong trường hợp này, đặc biệt nhạy cảm, vì chúng có thể cho phép truy cập vào tài khoản mạng xã hội của người dùng."
Khi được yêu cầu phản hồi về lệnh trừng phạt GDP mới nhất, người phát ngôn của Meta là Matthew Pollard đã gửi qua email một tuyên bố trong đó công ty tìm cách giảm nhẹ phát hiện này bằng cách tuyên bố rằng họ đã có "hành động ngay lập tức" đối với những gì được coi là "lỗi" trong quy trình quản lý mật khẩu của mình.
“ Là một phần của đợt đánh giá bảo mật năm 2019, chúng tôi phát hiện ra rằng một tập hợp con mật khẩu của người dùng FB [Facebook] đã được ghi tạm thời ở định dạng có thể đọc được trong hệ thống dữ liệu nội bộ của chúng tôi. Chúng tôi đã hành động ngay lập tức để khắc phục lỗi này và không có bằng chứng nào cho thấy những mật khẩu này đã bị lạm dụng hoặc truy cập không đúng cách”, Meta viết. “Chúng tôi đã chủ động báo cáo vấn đề này với cơ quan quản lý chính của chúng tôi, Ủy ban Bảo vệ Dữ liệu Ireland, và đã hợp tác xây dựng với họ trong suốt quá trình điều tra này ”.
Meta đã phải chịu phần lớn các hình phạt GDP lớn nhất dành cho các gã khổng lồ công nghệ nên lệnh trừng phạt mới nhất chỉ nhấn mạnh thêm quy mô các vấn đề về tuân thủ quyền riêng tư của công ty này.
Hình phạt này cứng rắn hơn đáng kể so với khoản tiền phạt 17 triệu euro mà APEC đã đưa ra cho Meta vào tháng 3 năm 2022 vì vi phạm bảo mật năm 2018. Cơ quan quản lý của Ireland đã có sự thay đổi về quản lý cấp cao kể từ đó. Tuy nhiên, hai sự cố này cũng khác nhau: Các lỗ hổng bảo mật trước đó của Meta đã ảnh hưởng đến 30 triệu người dùng Facebook so với hàng trăm triệu người có mật khẩu được cho là đã bị lộ do không bảo mật mật khẩu vào năm 2019.
GDPR trao quyền cho các cơ quan bảo vệ dữ liệu đưa ra mức phạt đối với các hành vi vi phạm, trong đó số tiền phạt được tính toán dựa trên các yếu tố như bản chất, mức độ nghiêm trọng và thời gian vi phạm; phạm vi hoặc mục đích xử lý; số lượng chủ thể dữ liệu bị ảnh hưởng và mức độ thiệt hại phải chịu, cùng với các cân nhắc khác.
Mức phạt cao nhất có thể theo GDP là 4% doanh thu hàng năm toàn cầu. Vì vậy, trong trường hợp của Meta, khoản tiền phạt 91 triệu euro có vẻ là một khoản tiền lớn — nhưng nó vẫn chỉ là một phần nhỏ trong số hàng tỷ đô la mà công ty có thể phải đối mặt về mặt lý thuyết, vì doanh thu hàng năm của công ty vào năm 2023 là 134,90 tỷ đô la.