自《通用数据保护条例》(GDPR)生效以来,欧盟在网络安全和隐私保护方面的执法力度和频率显著提升,特别是从2021年开始,执法强度显著增强。在数据泄露和隐私侵犯案件中,集体诉讼的数量逐渐上升,企业因未能妥善保护用户数据而面临的法律风险愈发严重。以下列出了2024年因违反数据保护规定而受到处罚或达成和解的十大案例。
01
Meta因非法收集生物识别数据向德克萨斯州支付14亿美元赔偿
2024年7月,Meta(原Facebook)同意向德克萨斯州支付14亿美元的和解金,以解决其非法收集和使用数百万德克萨斯居民生物识别数据的指控,这一和解协议成为美国历史上最大的隐私和解案例。2022年2月,德克萨斯州总检察长Ken Paxton指控Meta在未获得用户同意的情况下,利用面部识别技术扫描用户上传的照片,未经授权地捕捉用户的面部特征信息,这一行为违反了当地的《生物识别标识符捕获或使用法》和《欺骗性贸易行为法》。
02
爱尔兰数据保护委员会对LinkedIn开出3.36亿美元罚单
2024年10月,爱尔兰数据保护委员会(DPC)针对LinkedIn在广告业务中违反通用数据保护条例(GDPR)的行为,作出了3.1亿欧元(约合3.36亿美元)的高额罚款。违规细节显示,LinkedIn在未获得用户明确同意的情况下,使用了从其会员处收集的个人数据以及从第三方获取的数据进行精准广告投放和行为分析。DPC的决定明确指出,LinkedIn未能遵循GDPR的核心原则,包括未合法地收集和处理用户数据,缺乏用户的明确同意,以及未能提供足够的透明度和信息。
03
Uber因未妥善保护司机数据被罚款3.24亿美元
2024年8月,荷兰数据保护局(AP)对Uber作出了2.9亿欧元(约合3.24亿美元)的处罚决定。此举源于Uber在未采取适当的安全措施的情况下,将欧洲司机的数据存储于美国境内。这些数据包括个人身份信息、驾驶记录、支付信息等敏感数据。考虑到美国的法律可能允许执法机构和情报机关访问这些数据,因此,将数据存储在美国的做法被认为存在重大的隐私风险。监管机构强调,Uber未能充分保障这些数据的安全性,也未能采取适当的措施以防止数据被滥用或未经授权的访问。
04
Meta因密码管理不当被罚款1.02亿美元
2024年9月,爱尔兰数据保护委员会(DPC)对Meta公司处以高达9100万欧元(约合1.02亿美元)的巨额罚款。这一处罚是由于Meta未能充分保障其社交媒体用户密码的安全性。调查发现,Meta将用户密码以明文形式存储在其内部系统中,未采取加密措施,这可能会引发重大的安全风险。值得注意的是,尽管Meta坚称没有证据显示密码被滥用或遭到未授权访问,但其在密码管理上的失误已经违反了通用数据保护条例(GDPR)的条款。
05
利哈伊谷健康网络因数据泄露达成6500万美元和解
2024年9月,宾夕法尼亚州的利哈伊谷健康网络(LVHN)同意支付6500万美元的和解金,以解决2023年3月发生的数据泄露事件。此次由黑客发起的攻击导致大约600名患者的敏感个人信息被泄露,这些信息包括姓名、出生日期、社会安全号码、医疗记录以及部分患者的裸照。据悉,此次和解金额是医疗行业数据泄露案件中迄今为止最高的和解金额之一。
06
万豪酒店就大规模数据泄露达成5200万美元和解
2024年10月,万豪酒店同意支付5200万美元,以和解2018年喜达屋宾客预订数据库泄露事件所引发的诉讼。此次数据泄露事件影响了全球超过3.39亿条客人记录,包括大量个人身份信息、护照号码以及支付卡信息。泄露事件的起因是万豪在收购喜达屋后,其计算机网络管理存在漏洞。联邦贸易委员会(FTC)与多个州总检察长联合调查后认定,万豪未能实施适当的保护措施,导致了数据泄露。作为和解协议的一部分,万豪还承诺将加强其网络安全措施。
07
23andMe因数据泄露同意支付3000万美元和解
2024年9月,基因检测行业的领军企业23andMe宣布,为了解决2023年发生的数据泄露事件中受影响用户的赔偿问题,同意支付3000万美元的和解金。此次数据泄露事件影响了超过600万名用户的敏感信息,黑客通过盗取的用户凭据非法访问了这些账户。尽管23andMe坚称在此次事件中没有违反任何规定,并指出用户在多个平台上重复使用密码是导致数据泄露的主要原因,公司还是选择和解,以避免进一步的法律风险和减轻公众舆论的压力。
08
T-Mobile就数据泄露事件支付1575万美元和解金
2024年10月,T-Mobile与美国联邦通信委员会(FCC)签署了一项和解协议,同意支付1575万美元以解决一系列数据泄露事件所引发的法律纠纷。这些数据泄露事件波及数百万客户,影响了包括社会安全号码、银行账户详情以及通信记录等个人隐私数据。T-Mobile承认,尽管已经采取了多项安全措施,但未能有效防御黑客的侵袭,导致大量用户信息被非法获取。作为和解协议的一部分,T-Mobile承诺将加大对网络安全领域的投资。
09
AT&T就云数据泄露支付1300万美元和解
2024年9月,AT&T与FCC就其在云数据泄露事件中未能妥善保护客户数据达成1300万美元的和解协议。此次泄露事件发生在AT&T的某云服务供应商中,黑客利用供应商的漏洞侵入AT&T的系统,盗取了约900万个无线账户的客户数据。调查显示,AT&T在供应商管理和数据安全方面存在明显漏洞,未能充分保护用户的敏感信息。作为和解的一部分,AT&T还同意加强其供应链管理和数据保护措施。
10
纽约州从保险公司获得1130万美元和解金
2024年11月,纽约州对GEICO和旅行者赔偿公司因未能妥善保护客户个人信息而进行处罚,最终两家公司同意支付1130万美元的和解金。此次和解涉及的数据泄露事件影响了超过120000名客户的敏感信息,包括社会安全号码、驾驶执照信息等。据悉,和解后,GEICO将向纽约州支付总计975万美元的罚款,旅行者将支付155万美元的罚款。
结语
个人数据保护的不当处理导致的经济后果,正对全球企业产生深远的影响。这些罚款以及和解协议,不仅对违规行为进行了制裁,同时也向企业传递了一个明确的信息:数据保护与网络安全已经成为企业运营中不可或缺的核心要素。监管机构期望通过这些措施,促使企业将网络安全和数据保护提升至董事会的议事日程,实施更为严格的防护措施,以期减少未来可能的法律风险和经济损失。
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
