域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定

根据从2021年4月开始的调查，爱尔兰数据保护委员会（DPC）以《通用数据保护条例》第110、111条为依据，针对  Meta 平台爱尔兰公司（“MPIL” ）（前身为 脸书爱尔兰公司）的数据泄露情况做出了相关决定，就MPIL是否违反相关法律法规、违反之后的补救等问题做出了回应。

2021年4月，媒体报道脸书用户个人数据的数据集已经在互联网上公开，该数据集包含与全球约5.33亿脸书用户相关的个人数据（被抓取的数据集）。因此，DPC认为，在此事件中应当确定MPIL作为数据控制者是否履行了其通过脸书搜索、Instagram处理其用户个人数据的义务。DPC决定根据GDPR第110（1）条开始调查，随后向MPIL发出了调查通知。MPIL告知DPC，搜索和联系人导入功能旨在让用户能够通过输入他们的电话号码或电子邮件来找到他们的朋友。这些功能可以允许用户限制谁可以查找他们的隐私设置的限制。

DPC在调查启动通知中，明确了调查的范围：第一，将审查和评估MPIL是否履行了其作为数据控制者在处理其用户个人数据方面的义务，以确定是否违反了GDPR的规定。第二，将涉及对脸书搜索等应用程序的检查和评估。第三，本次调查的实质性问题涉及设计和默认的数据保护，将涵盖在2018年5月25日至2019年9月期间根据GDPR第25条实施的技术和组织措施。

MPIL表示调查的范围内所涉及到的电话号码抓取功能是App为用户提供更好服务的一部分，必须将其视为数据处理的性质、上下文和目的的一部分。第一，处理数据的性质是指控制者对个人数据进行操作的基本或固有特征，MPIL在相关功能中对用户个人数据的处理涉及一个过程，个人可以通过该过程查找电话号码和电子邮件地址，脸书返回姓名和UID，允许搜索这些  UID  以获取用户在其个人资料上发布的任何公共数据。第二，处理范围是指MPIL对个人数据进行操作的范围，此处理仅限于脸书和Instagram用户，他们启用了可搜索性设置以允许其他人通过他们的电话号码或电子邮件搜索他们。第三，处理背景是指构成处理的背景情况。虽然这些功能旨在让人们能够找到他们认识的人的个人资料，但上下文使陌生人能够输入随机的数字和文本，如果这些字符串与脸书用户的电话号码或电子邮件地址匹配，脸书就会匹配该号码或电子邮件地址到其所有者的身份和脸书个人资料。这种情况造成了抓取电话号码和电子邮件地址并将它们与其所有者的身份联系起来的风险。处理的上下文还涉及一个大型社交媒体平台，其中所有用户的设置都是默认设置的，以使其他所有 Facebook用户都能找到他们。这种情况增加了被抓取的风险，因为这意味着随机数和电子邮件更有可能在相关特征下产生匹配。第四，处理目的是指处理个人数据的原因。  MPIL概述了相关功能旨在使人们能够通过输入他们的电话号码或电子邮件地址来找到他们的朋友。  MPIL还概述了此功能在大量人使用相同或相似姓名的国家/地区特别有用。 MPIL 还概述了将世界各地的人们与朋友、家人和有意义的社区联系起来是脸书的核心价值，并且为用户提供这种体验通常取决于他们在相关功能下的可搜索性设置。第五，在根据GDPR第25条实施措施时，控制者必须考虑处理过程对自然人的权利和自由造成的不同可能性和严重程度的风险。MPIL  提交了一份关于侵权风险的报告,MPIL认为虽然除了电话号码外，被抓取的数据集还包含非敏感个人资料信息的零碎项目，用户在抓取时已在脸书平台上公开查看这些信息，此类数据对于试图实施严重形式的网络犯罪用处不大。

MPIL未能证明其按照EDPB指南的建议对所选设计产生的风险进行了分析。在2021年9月30日的补充通知中，MPIL被要求提供对2018年5月25日至2019年9月期间与直接涉及脸书平台相关功能、数据处理系统和服务相关的个人数据。

根据MPIL提供的相关材料和相关法律规定，DPC针对几个重要问题进行了分析和解释，认为：第一，关于数据，电话号码与其他类别个人数据的披露是造成高风险的基础，MPIL忽略了数据主体可能面临的各种形式的身份盗用，披露的数据表格可能通过使用个人数据获取对现有账户的访问权限，或根据数据主题的身份联系他们的朋友和家人以进行欺诈，身份盗窃还可以带来恐吓、骚扰或胁迫的情况。另外，虽然披露的位置信息并不具体和精准，犯罪分子需要有关用户的更具体和实时的位置信息，然而，犯罪分子从被抓取的数据集中已经至少知道他们居住在哪个城市。第二，关于评估，虽然MPIL承认并意识到抓取活动会带来风险，但是并没有从一开始就对该风险进行任何相关评估。MPIL在处理个人数据时的许多情况下无法完全消除风险，但需要适当地识别和减轻风险，如果对风险进行了重新评估，认为该风险可能存在于处理系统的多个不同方面，则应采取相同或相似的缓解措施。第三，关于技术和组织措施，考虑了MPIL 根据GDPR第25(1)和(2)条在时间范围内针对相关情况实施的技术和组织措施。2018年10月，滥用账户检测小组发现了大量使用脸书脚本账户的证据，表面抓取数据很可能是通过messenger上的功能发生的，MPIL进行了相关补救，但是事实证明在2019年8月，仍然发现抓取程序正在使用机器人对电话号码进行抓取。考虑到 MPIL 相关功能中的个人数据给自然人的权利和自由带来的不同可能性和严重程度的风险，DPC认为 MPIL实施的速率限制和机器人检测措施不足以满足GDPR  第 25(1)条规定的目的。 MPIL当时可以实施一系列额外措施，以防止滥用相关功能。