보도 자료에 따르면 아일랜드 데이터 보호 위원회(DPC)는 화요일(12월 17일) Meta에 EU의 데이터 개인 정보 보호 규정(GDPR)을 준수하지 않은 이유로 2억 5100만 유로의 벌금을 부과했습니다.
벌금은 2017년 7월부터 시작되어 유럽 경제 지역(European Economic Area)에서 약 300만 개의 계정에 영향을 미친 소셜 미디어 Facebook의 보안 침해에 대해 부과되었습니다.
아일랜드 DPC 부국장 그레이엄 도일(Graham Doyle)은 “이번 집행 조치는 데이터 보호 요구 사항을 구축하지 못하면 (…) 개인이 개인의 기본 권리와 자유에 대한 위험에 (…) 어떻게 노출될 수 있는지를 강조합니다.”라고 말했습니다.
이번 위반은 스크립트를 사용하는 승인되지 않은 사람들이 Facebook 코드의 취약점을 악용할 수 있도록 허용하여 다른 방법으로는 볼 수 없는 사용자의 프로필을 볼 수 있도록 허용하는 Facebook 설계의 버그였습니다.
메타는 이번 결정에 대해 항소할 것으로 예상된다. Meta 대변인은 이메일을 통해 “우리는 문제를 해결하기 위해 즉각적인 조치를 취했습니다”라고 말했습니다.
Meta는 2018년 9월에 보안 문제를 발견하고 취약점을 수정했으며 법 집행 기관에 알렸습니다.
그럼에도 불구하고 DPC에 따르면 Meta는 위반 사항을 규제 당국에 알리고 완전히 문서화하지 못했습니다. 이는 Meta가 GDPR을 위반하여 1,100만 유로의 벌금이 부과되었음을 의미합니다.
그러나 DPC가 부과한 벌금의 대부분(2억 5100만 유로 중 2억 4000만 유로)은 개인 데이터 침해 자체의 성격에 대한 것이며, 도일은 “설계 전반에 걸쳐 데이터 보호 요구 사항을 구축하지 못한 것”이라고 말했습니다. 영향을 받는 시스템.
영향을 받은 개인 데이터에는 사용자의 이름, 성별, 종교, 전화번호, 위치 및 직장이 포함되었습니다.
DPC는 2018년 발효 이후 GDPR을 허술하게 집행한다는 비판을 받아왔다.
그러나 이번 벌금은 2024년 2월 데스 호건이 데이터 보호 위원 겸 DPC 의장으로 임명된 이후 GDPR에 따라 DPC가 부과한 세 번째 벌금이다.
최종 결정은 다른 EU 데이터 보호 당국이 참여하는 GDPR 협력 메커니즘에 따른 검토를 위해 DPC가 판결 초안을 제출한 후에 이루어졌습니다.
특히 초안과 최종 결정은 모두 호건 재임 기간 동안 발표되었으며, 보도 자료에 따르면 결정 초안은 동료 당국으로부터 어떠한 이의도 받지 않았습니다.
DPC는 지난 9월 비밀번호 관리 실수로 Meta에 9,100만 유로의 벌금을 부과했습니다. 또한 10월에는 링크드인의 표적 광고에 대해 3억 1천만 유로의 벌금을 부과했습니다.