首例美国公司GDPR执法案两年终落定：推特被罚45万欧元

当地时间12月15日，爱尔兰数据保护委员会（DPC）官网披露，将因2019年1月披露的数据泄露事件对Twitter处以45万欧元罚款。据了解，该公司未能在发现违规的72小时内及时通知监管机构，并对数据泄露的情况进行充分记录。

因为Twitter以及许多美国科技巨头的国际总部都设在爱尔兰，所以该项调查由爱尔兰DPC负责。2018年5月，欧盟的《通用数据保护条例》（GDPR）生效后，该案系首例美国科技公司因违反该法被处罚的跨境案件。

其他未结案件还包括对Facebook、WhatsApp、Google、Apple和LinkedIn等美国科技公司的调查。

据悉，事件发生后，Twitter披露了其“Protect your tweets（保护你的推文）”功能存在的漏洞。当时该公司表示，一些使用了上述功能的安卓用户可能早在2014年就将自己未公开的推文暴露在了互联网上。

DPC表示，在收到Twitter的通知后，调查从2019年1月开始。DPC发现Twitter主要违反了GDPR的第33条第（1）项和第（5）项——未能及时通知和充分记录违规行为。

Twitter首席隐私官德米安·基兰（Damien Kieran）对此表示，“我们对这一错误负责，并仍将完全致力于保护我们客户的隐私和数据”，还称通知延迟是“2018年圣诞至元旦假期期间人员配置疏漏产生的意外结果”。

从开始到结束，爱尔兰DPC耗时近两年时间才对Twitter的这一案件作出决定。虽然爱尔兰DPC是此案的主要监管机构，但因其业务的跨境性质，就意味着爱尔兰DPC会向其他欧盟数据保护机构征求意见。

爱尔兰DPC于今年5月份发布了决定草案，但其他几个数据保护机构在管辖权、调查范围和罚款金额等问题上提出了异议，最终导致启动了欧盟数据保护机构之间的争端解决程序。

根据GDPR的规定，一旦企业违反规定，轻者将处以1000万欧元或者上一年度全球营收的2%（两者取其高）的罚款。其他数据保护机构的一个主要反对意见在于，爱尔兰DPC的罚款远低于Twitter全球营收的2%。

据了解，奥地利监管机构要求至少处以2500万欧元的罚款，德国则要对其处以730至2200万欧元的罚款。爱尔兰DPC起初的罚款额度低于45万欧元，通过争端解决程序，其被要求增加罚款额。

爱尔兰DPC主张较小的罚款额度，是因为其认为Twitter的数据泄露事件是过失，而非主观故意或系统性问题。在此次的声明中，爱尔兰DPC表示此次罚款是合理且有告诫作用的。

编译|李慧琪

编辑|石莹

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。