当地时间12月15日,爱尔兰数据保护委员会(DPC)官网披露,将因2019年1月披露的数据泄露事件对Twitter处以45万欧元罚款。据了解,该公司未能在发现违规的72小时内及时通知监管机构,并对数据泄露的情况进行充分记录。

因为Twitter以及许多美国科技巨头的国际总部都设在爱尔兰,所以该项调查由爱尔兰DPC负责。2018年5月,欧盟的《通用数据保护条例》(GDPR)生效后,该案系首例美国科技公司因违反该法被处罚的跨境案件。

其他未结案件还包括对Facebook、WhatsApp、Google、Apple和LinkedIn等美国科技公司的调查。

据悉,事件发生后,Twitter披露了其“Protect your tweets(保护你的推文)”功能存在的漏洞。当时该公司表示,一些使用了上述功能的安卓用户可能早在2014年就将自己未公开的推文暴露在了互联网上。

DPC表示,在收到Twitter的通知后,调查从2019年1月开始。DPC发现Twitter主要违反了GDPR的第33条第(1)项和第(5)项——未能及时通知和充分记录违规行为。

Twitter首席隐私官德米安·基兰(Damien Kieran)对此表示,“我们对这一错误负责,并仍将完全致力于保护我们客户的隐私和数据”,还称通知延迟是“2018年圣诞至元旦假期期间人员配置疏漏产生的意外结果”。

从开始到结束,爱尔兰DPC耗时近两年时间才对Twitter的这一案件作出决定。虽然爱尔兰DPC是此案的主要监管机构,但因其业务的跨境性质,就意味着爱尔兰DPC会向其他欧盟数据保护机构征求意见。

爱尔兰DPC于今年5月份发布了决定草案,但其他几个数据保护机构在管辖权、调查范围和罚款金额等问题上提出了异议,最终导致启动了欧盟数据保护机构之间的争端解决程序。

根据GDPR的规定,一旦企业违反规定,轻者将处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款。其他数据保护机构的一个主要反对意见在于,爱尔兰DPC的罚款远低于Twitter全球营收的2%。

据了解,奥地利监管机构要求至少处以2500万欧元的罚款,德国则要对其处以730至2200万欧元的罚款。爱尔兰DPC起初的罚款额度低于45万欧元,通过争端解决程序,其被要求增加罚款额。

爱尔兰DPC主张较小的罚款额度,是因为其认为Twitter的数据泄露事件是过失,而非主观故意或系统性问题。在此次的声明中,爱尔兰DPC表示此次罚款是合理且有告诫作用的。

编译|李慧琪

编辑|石莹

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。