在对 Meta Platforms Ireland Limited （MPIL） 进行调查后，爱尔兰数据保护委员会 （DPC） 因不当处理社交媒体用户的密码和违反 GDPR 而对该公司处以 €91m （$102m） 的罚款。

在 MPIL 通知 DPC 无意中将社交媒体用户的某些密码以“明文”形式存储在其内部系统（即没有加密保护或加密）后，DPC 于 2019 年 4 月启动了初步调查。

DPC 副专员 Graham Doyle 评论道：“考虑到访问此类数据的人所带来的滥用风险，用户密码不应以明文形式存储，这是人们普遍认为的。

Doyle 还指出，本案中要考虑的密码特别敏感，因为它们会允许访问用户的社交媒体帐户。

在发送给 Infosecurity 的一份声明中，Meta 发言人表示：“作为 2019 年安全审查的一部分，我们发现 FB 用户的密码子集在我们的内部数据系统中以可读格式临时记录。我们立即采取措施修复此错误，没有证据表明这些密码被滥用或访问不当。我们主动向我们的主要监管机构爱尔兰数据保护委员会报告了这个问题，并在整个调查过程中与他们进行了建设性的接触。

截至今天，尚不清楚 Meta 是否会对罚款提出异议。

BH Consulting 首席执行官、欧洲刑警组织前网络安全特别顾问 Brian Honan 评论道：“Meta 声称密码没有被访问，但这并不能否定现有的不良安全控制。如果这些密码被泄露，那么我相信罚款的价值会高得多。

Honan 补充说：“罚款向组织发出了一个明确的信息，即他们需要确保采取适当的安全措施和控制措施来保护数据主体的个人数据，并且他们有适当的流程来检测违规行为并及时向适当的监管机构报告。

Meta 被指控违反 GDPR

根据 GDPR 第 60 条的要求，DPC 于 2024 年 6 月向欧盟/欧洲经济区的其他相关监管机构提交了一份决定草案。其他当局没有对该决定草案提出异议。

罚款通知于 9 月 26 日发出。

DPC 的一份声明表示，Meta 已申请通知 DPC 有关以明文形式存储用户密码的个人数据泄露事件。

它还表示，MPIL 没有使用适当的技术或组织措施来确保用户密码的适当安全性，防止未经授权的处理。

最后，Meta 还违反了 GDPR，因为它没有采取适当的措施来确保与风险相适应的安全级别，包括确保用户密码持续机密的能力。

DPC 表示，该决定涉及 GDPR 的完整性和保密性原则。

GDPR 要求数据控制者在处理个人数据时实施适当的安全措施，同时考虑服务用户的风险和数据处理的性质等因素。

为了维护安全，数据控制者应评估处理过程中的固有风险，并采取措施来减轻这些风险。

DPC 表示，这一决定强调了在存储用户密码时采取此类措施的必要性。