9 月 6 日，“Meta 違反了 GDPR 被罰款 4 億美元（約28億元人民幣）”的新聞迅速引爆了科技圈，數據和隱私安全問題再次成為網友議論的焦點。愛爾蘭數據保護委員會（DPC）在9月2日給出上述判決，并根據歐盟《通用數據保護條例》（以下簡稱“GDPR”）開出的此項罰單。一旦處罰落地，這將成為迄今為止金額最大的罰單之一，也從側面反映出歐盟打擊未成年人隱私泄露的決心和力度。

其實Instagram會遭受監管部門處罰早在眾人的意料之中，但是如此龐大的處罰金額卻在意料之外。

早在2020年，愛爾蘭數據保護委員會就開始著手調查 Instagram，原因是該公司默認將 13 歲至 17 歲兒童的賬戶設置為公開狀態，并允許在 Instagram 上擁有商業賬戶的青少年公開自己的電子郵件地址和電話號碼。

那時，Instagram 將遭受巨額罰款的信號就已非常明顯。經過兩年多時間的調查和取證，直到2022年9月2日，愛爾蘭數據保護委員終于決定根據《通用數據保護條例》，開出這張巨額罰單。

事實上，歐盟一直非常重視兒童數據保護，并致力于更好地保護兒童在社交媒體、在線視頻游戲和其他互聯網服務上生成的數據。這也是Instagram踩雷GDPR之后，被監管機構開出了4億美元的天價罰單。

得知罰款消息后，Meta 很快做出了回應。公司一位發言人公開表示，在整個調查過程中，meta一直都非常配合愛爾蘭數據保護委員，但不能接受這筆罰款的計算方式，后續會提出上訴。

此外，發言人還強調此次調查主要是集中在一年多前更新的舊設置上，自那以后已經更新了許多新功能，以幫助保護青少年的安全及其信息隱私。任何 18歲以下的人在加入Instagram時，他們的賬戶都會自動設置為私人賬號，所以只有他們認識的人才能看到其發布的內容，成年人不能給沒有關注他們的青少年發消息。

Meta 成數據安全“老冤種”

Meta 能否上訴成功暫且不論，但是近年來 Meta 深陷數據安全的泥潭之中，想必會讓扎克伯格“記憶深刻”。隨著全球數據安全法律法規的收緊，Meta屢次踩中數據安全違規紅線，深陷法律輿論漩渦無法自拔。愛爾蘭對其開出 4 億美元的巨額罰單，不過是 Meta 在數據安全違規問題上的一個標志性事件。

而Meta 自身對于數據安全的“漠視”，是其屢屢觸及數據安全法規紅線的根源。僅僅2年的時間，Meta就已經收到了多份數據安全相關罰單。

2022年3月，DPC宣布，由于Facebook的母公司Meta違反歐盟GDPR，對其處以1700萬歐元的罰款。該決定是DPC在對Facebook提供的12 次數據泄露說明進行調查后作出的。DPC表示，在多次大規模個人數據泄露中，Meta未能證明其采取了適當的安全應對措施，保障歐盟用戶的數據安全。

2021 年 2 月，意大利當局以 Facebook 未能遵照 2018 年 11月 該局對其的警告，終止對用戶數據的不當使用，亦未發布更正聲明，對其處以760萬美金的罰款。然而，Meta在已經受到當局警告情況下，依舊沒有中止對用戶數據的不當使用，也沒有采取更多的保護措施，像鴕鳥一樣把頭“埋在”沙土中，繼續干著損害用戶的事情，自然難逃懲罰。

除了在數據安全方面出現違規以外，濫用技術手段，強制收集用戶數據同樣是Meta經常做的事情，也是其頻頻遭遇處罰的原因。

2021 年 2 月，號稱有史以來最大規模的隱私訴訟終于達成和解，facebook 將向其 160 萬用戶賠償共計 6.5 億美元，而這一切都要從 Facebook 濫用人臉識別技術說起。

2015年， Facebook 被指控未經用戶許可通過“人臉識別”收集和存儲用戶面部數字掃描信息和其他生物信息。事情經過發酵，越來越多的人開始加入到訴訟的隊伍中最終，Facebook 以付出 6.5 億美元為代價，才得以從泥潭抽身。

2021 年 9 月，隸屬臉書的即時通信工具 WhatsApp 又因違反歐盟 GDPR，收到 2.25 億歐元的“巨額罰單”。DPC 認為，WhatsApp 處理用戶個人信息時未能充分告知相關事項，包括如何與母公司臉書共享這些信息，由此違反了歐盟GDPR，最終被處以2.25億歐元的罰款。此外，愛爾蘭數據保護委員會要求WhatsApp進行“整改”，需根據監管要求采取一系列補救措施，以滿足歐盟GDPR的規定。

追溯這兩年 Meta 的數據安全違規事件，不難發現造成違規事件頻頻發生的本質原因是對數據使用、儲存、用戶隱私權限設定出現了問題。

其它科技巨頭同樣深陷數據安全合規的“泥潭”

互聯網時代，數據就是企業“安身立命”的資本，因此數據安全問題也不會僅僅只有 Meta 會遇到，其它互聯網巨頭同樣深陷數據安全問題漩渦中。

2019年 8 月，谷歌推出的 YouTube Kids 涉嫌收集未成年人的個人信息，更是在未經未成年父母同意的情況下使用這些信息投放特定廣告，違反了《兒童在線隱私保護條例》最終不得不向美國聯邦貿易委員會繳納了 2 億美元罰款，成為《兒童在線隱私保護條例》立法以來，刀下最大的“亡魂”。

在歐洲地區，谷歌也因數據安全等問題，成為了歐洲多個國家和部門的眼中釘，很難像以往一樣自由支配用戶數據。2019 年 1 月，法國以谷歌在其用戶個人信息保護和數據處理上違反了歐盟《通用數據保護條例》中相關規定為由，對谷歌開出 5700 萬美元罰單。

對于數據安全違規，國內的互聯網不僅不能“免俗”，而且更勝一籌，會義無反顧的加入到了“違規”大軍中，其中最典型的代表當屬滴滴。

2021年之前提起滴滴，百姓無不拍手叫好，“掀起了出行革命”、“帶來數百萬就業機會”成為那幾年滴滴的光鮮標簽。事情很快出現了反轉，2021 年 7 月 1 日，滴滴”低調“赴美上市，不但網上沒有鋪天蓋地的消息，就連其官網都沒有宣傳，甚至滴滴內部員工都沒發任何朋友圈，更沒有微博熱搜，詭異的可怕。

很快事情出現了轉機，相關單位根據《中華人民共和國國家安全法、《中華人民共和國網絡安全法》，以防范國家數據安全風險、維護國家安全、保障公共利益對滴滴進行網絡安全審查工作。

后續的事情想來大家都有所耳聞，一年后，因滴滴違反國家法律、國家網信辦對其罰款 80.26 億，同時對滴滴 CEO 程維、總裁柳青各處人民幣100萬的罰款，滴滴出行神話一夜告破。

網信辦對滴滴公司存在的違法行為的歸納概括：

1. 違法收集用戶相冊截圖1196.39萬條；
2. 過度收集用戶剪切板信息和應用列表83.23億條；
3. 過度收集人臉信息1.07億條，年齡信息5350.92萬條，職業信息1633.56萬條，親情關系信息138.29萬條、公司和家的地址信息1.53億條；
4. 過度收集精準位置(經緯度)信息1.67億條；
5. 過度收集司機學歷信息14.29萬條，以明文形式存儲司機身份證號信息5780.26萬條；
6. 在未明確告知乘客的情況下，分析出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/旅游信息3.04億條；
7. 在乘客使用順風車服務時頻繁索取無關的“電話權限”；
8. 未準確、清晰的說明用戶設備信息等19項個人信息的處理目的。

隨著全球數字化的程度越來越高，數據的價值也在不斷攀升，用戶的數據和隱私信息不再僅僅是企業牟利的原材料，而是要真真切切保護起來。這也是全球不可逆的趨勢。越來越多的國家正在制定并實施自己的數據監管法規，在此基礎上，企業如果繼續一意孤行，違反數據安全相關法律法規體系，使用用戶信息乃至隱私，必然需要付出相應的代價。

正如安全專家所說的那樣，互聯網曾經歷“野蠻生長”的時代，但如今那個時代已經過去，各國政府顯然在進行“查漏補缺”，對每一步使用“數據隱私”牟利的行為收取“代價”。

寫在最后

隨著信息化時代浪潮卷起，數據無可爭議成為了各互聯網企業最寶貴的資產，但同樣數據泄露與隱私事故頻發也成為企業難以解決的痛點。此外，在數據保護、使用、儲存以及數據獲取方式等方面，部分企業似乎出現了一些問題。如何應對數據安全問題？需要幾個層面通力協作，用戶、企業、社會、政府環環相扣，缺一不可。

國家制定法規，明確數據安全紅線，近幾年，我國陸續頒布了《數據安全法》，《網絡安全法》、《個人信息保護法》等法規，再輔以特定行業、特定屬性的法規，從頂層設計上，構筑數據安全防護圍墻。

企業應該是數據安全保護過程中最難保障的一環，特別是大型互聯網公司必定要收集、儲存海量數據，這無可厚非，但是收集信息時必須依法明確告知信息所有者，若是依靠技術手段或強加條款，“偷偷摸摸”收集信息，一旦暴露必將受到重罰。

在數據信息保護上，最重要的還是“人”，只有人人樹立保護數據信息的觀念，注重自身信息保護，才能從根源上阻止數據信息違規事件的發生。