Vào tháng 9 năm 2018, Facebook đã bị vi phạm dữ liệu. Sau khi điều tra, các tin tặc đã có thể đánh cắp tên và thông tin liên lạc (số điện thoại) của 29 triệu tài khoản Facebook bằng cách khai thác lỗ hổng bảo mật. Hơn ba triệu nạn nhân cư trú tại Châu Âu.
Theo Ủy ban Bảo vệ Dữ liệu (DPC), cơ quan tương đương với CNIL tại Ireland, nơi Meta đặt trụ sở chính tại Châu Âu, vụ rò rỉ trở nên trầm trọng hơn do những thiếu sót trong việc bảo vệ dữ liệu của Meta. Theo tổ chức này, gã khổng lồ của Mỹ đã vi phạm một số quy định chung về bảo vệ dữ liệu GDPR có hiệu lực tại Châu Âu. Trước khi đưa ra kết luận này, cơ quan quản lý đã tiến hành hai cuộc điều tra về hoạt động của Meta. Theo cơ quan quản lý, có một lỗ hổng trong chức năng tải xuống video. Bị tin tặc khai thác, nó cho phép truy cập đầy đủ vào hồ sơ Facebook của những người dùng khác.
Thông cáo báo chí của DPC chỉ ra những vi phạm Điều 25 của GDPR, trong đó quy định rằng bảo vệ dữ liệu phải được "tích hợp làm cài đặt mặc định". Bảo vệ “theo thiết kế” và “theo mặc định” là hai nguyên tắc cơ bản được ghi trong GDPR, nhằm đảm bảo xử lý dữ liệu cá nhân một cách tôn trọng trong suốt vòng đời của dữ liệu. Những yêu cầu này yêu cầu các công ty phải lường trước các vấn đề về quyền riêng tư và bảo mật dữ liệu trước khi bắt đầu phát triển sản phẩm. Hơn nữa, chỉ những dữ liệu thực sự cần thiết mới được thu thập, xử lý và lưu giữ.
Meta đã không tích hợp "các yêu cầu về bảo vệ dữ liệu trong suốt vòng đời thiết kế và phát triển của Facebook", điều này khiến "cá nhân phải chịu những rủi ro và tổn hại nghiêm trọng, bao gồm cả việc làm suy yếu các quyền và tự do cơ bản của họ", Graham Doyle, giám đốc truyền thông của cơ quan quản lý này giải thích. Hơn nữa, "bằng cách cho phép tiết lộ thông tin hồ sơ trái phép, các lỗ hổng đằng sau vụ vi phạm này đã tạo ra rủi ro nghiêm trọng về việc sử dụng sai mục đích các loại dữ liệu này".
Cơ quan quản lý cũng tin rằng Meta thiếu chính xác trong thông báo vi phạm của mình, vốn được cho là để cảnh báo các cơ quan chức năng về sự cố. Nhóm Menlo Park đã không "ghi lại các sự kiện xung quanh mỗi hành vi vi phạm và các bước đã thực hiện để giải quyết chúng." Những thiếu sót này làm phức tạp thêm công việc của cơ quan quản lý chịu trách nhiệm xác minh việc tuân thủ các biện pháp do Meta thực hiện.
Mặc dù Meta đã nhanh chóng khắc phục sai sót, nhưng DPC vẫn quyết định áp dụng mức phạt 251 triệu euro đối với tập đoàn California này. Không có gì ngạc nhiên khi Meta đã cam kết kháng cáo lệnh trừng phạt do cảnh sát Ireland ban hành. Trong một tuyên bố gửi đến Bloomberg, Meta cho biết họ “đã thực hiện các bước ngay lập tức để giải quyết vấn đề ngay khi phát hiện ra và chúng tôi đã chủ động thông báo cho những người bị ảnh hưởng cũng như Ủy ban Bảo vệ Dữ liệu Ireland” và “đã triển khai nhiều biện pháp hàng đầu trong ngành để bảo vệ cá nhân trên nền tảng của chúng tôi”. Đây không phải là hình phạt đầu tiên mà Ủy ban Bảo vệ Dữ liệu áp dụng cho Meta. Vì những thiếu sót tương tự của GDPR, cơ quan quản lý này đã phạt công ty 405 triệu đô la vào năm ngoái. Gần đây hơn, Meta đã bị phạt 91 triệu đô la vì không bảo vệ được mật khẩu của các thành viên Facebook.
Nguồn: DPC
Việc vi phạm GDPR khiến vấn đề trở nên tồi tệ hơn
Theo Ủy ban Bảo vệ Dữ liệu (DPC), cơ quan tương đương với CNIL tại Ireland, nơi Meta đặt trụ sở chính tại Châu Âu, vụ rò rỉ trở nên trầm trọng hơn do những thiếu sót trong việc bảo vệ dữ liệu của Meta. Theo tổ chức này, gã khổng lồ của Mỹ đã vi phạm một số quy định chung về bảo vệ dữ liệu GDPR có hiệu lực tại Châu Âu. Trước khi đưa ra kết luận này, cơ quan quản lý đã tiến hành hai cuộc điều tra về hoạt động của Meta. Theo cơ quan quản lý, có một lỗ hổng trong chức năng tải xuống video. Bị tin tặc khai thác, nó cho phép truy cập đầy đủ vào hồ sơ Facebook của những người dùng khác.
Thông cáo báo chí của DPC chỉ ra những vi phạm Điều 25 của GDPR, trong đó quy định rằng bảo vệ dữ liệu phải được "tích hợp làm cài đặt mặc định". Bảo vệ “theo thiết kế” và “theo mặc định” là hai nguyên tắc cơ bản được ghi trong GDPR, nhằm đảm bảo xử lý dữ liệu cá nhân một cách tôn trọng trong suốt vòng đời của dữ liệu. Những yêu cầu này yêu cầu các công ty phải lường trước các vấn đề về quyền riêng tư và bảo mật dữ liệu trước khi bắt đầu phát triển sản phẩm. Hơn nữa, chỉ những dữ liệu thực sự cần thiết mới được thu thập, xử lý và lưu giữ.
Meta đã không tích hợp "các yêu cầu về bảo vệ dữ liệu trong suốt vòng đời thiết kế và phát triển của Facebook", điều này khiến "cá nhân phải chịu những rủi ro và tổn hại nghiêm trọng, bao gồm cả việc làm suy yếu các quyền và tự do cơ bản của họ", Graham Doyle, giám đốc truyền thông của cơ quan quản lý này giải thích. Hơn nữa, "bằng cách cho phép tiết lộ thông tin hồ sơ trái phép, các lỗ hổng đằng sau vụ vi phạm này đã tạo ra rủi ro nghiêm trọng về việc sử dụng sai mục đích các loại dữ liệu này".
Cơ quan quản lý cũng tin rằng Meta thiếu chính xác trong thông báo vi phạm của mình, vốn được cho là để cảnh báo các cơ quan chức năng về sự cố. Nhóm Menlo Park đã không "ghi lại các sự kiện xung quanh mỗi hành vi vi phạm và các bước đã thực hiện để giải quyết chúng." Những thiếu sót này làm phức tạp thêm công việc của cơ quan quản lý chịu trách nhiệm xác minh việc tuân thủ các biện pháp do Meta thực hiện.
251 triệu euro
Mặc dù Meta đã nhanh chóng khắc phục sai sót, nhưng DPC vẫn quyết định áp dụng mức phạt 251 triệu euro đối với tập đoàn California này. Không có gì ngạc nhiên khi Meta đã cam kết kháng cáo lệnh trừng phạt do cảnh sát Ireland ban hành. Trong một tuyên bố gửi đến Bloomberg, Meta cho biết họ “đã thực hiện các bước ngay lập tức để giải quyết vấn đề ngay khi phát hiện ra và chúng tôi đã chủ động thông báo cho những người bị ảnh hưởng cũng như Ủy ban Bảo vệ Dữ liệu Ireland” và “đã triển khai nhiều biện pháp hàng đầu trong ngành để bảo vệ cá nhân trên nền tảng của chúng tôi”. Đây không phải là hình phạt đầu tiên mà Ủy ban Bảo vệ Dữ liệu áp dụng cho Meta. Vì những thiếu sót tương tự của GDPR, cơ quan quản lý này đã phạt công ty 405 triệu đô la vào năm ngoái. Gần đây hơn, Meta đã bị phạt 91 triệu đô la vì không bảo vệ được mật khẩu của các thành viên Facebook.
Nguồn: DPC
