|
综合路透社、美国《连线》杂志报道:美国科技巨头Facebook(Fb)又出现用户私隐外泄事件。Fb在14日坦承,在今年9月13日至25日,图片应用程式界面(photo API)出现漏洞,使超过1500个第三方应用程式可以获取用户未授权分享的照片,预计有680万用户受到影响,该漏洞在9月25日已被修复。目前,欧盟的私隐监管机构爱尔兰数据保护委员会(DPC)已展开调查。
Fb工程主管巴尔(Tomer Bar)在博客「Fb开发人员」上发文写道,若用户曾授权第三方应用程式访问Fb图片,在9月13日至9月25日期间,这些第三方软件可以通过漏洞,获取用户在Fb Stories、Marketplace上发布的图片,以及用户已上传却出於各种原因未能发布的图片,例如由於网络问题未能发布,或是改变心意终止发布,只要上传了图片就可能被第三方应用程式获得。
Fb预计,有680万用户和超过1500个第三方程式受到影响。巴尔表示,Fb会在下周给第三方程式的开发商提供工具,助其确定是否存取了用户未经授权的照片。Fb会与其协作,确保这些照片被删除。同时,Fb将给那些可能受影响的用户发送警告,提醒他们进入帮助中心检测自己是否私隐外泄。巴尔推荐任何允许第三方应用程式获取照片的用户都检查一下。
未在72小时内上报 Fb涉违规
据报道,Fb在9月25日发现了并修补了这个漏洞,但直到11月22日才告知爱尔兰数据保护委员会,直到12月14日才告知用户。而欧盟在今年5月通过的《通用数据保障条例》(GDPR)中规定,若发生用户私隐泄露事件,企业必须在72小时内报告有关部门,Fb却在近两个月後才报告,此举显然违规。
不过Fb声称,它需要时间调查这起事件是否违反了条例,最後在下定结论後的72小时内报告给数据保护委员会,至於延迟告知用户,是因为需要先与众多程式开发商沟通,并想出解决措施。
事实上,《通用数据保障条例》所规定的72小时,也并不是那麽死板。假如违规行为「不太可能对用户权利和自由造成影响」,企业就可以获得更长时间。专攻私隐法的律师表示,若黑客盗取了用户银行帐号或未加密的密码,那肯定需要立即报告,但通过图片应用程式界面漏洞导致的图片外泄,就处於比较模糊的领域。
丑闻不断 或难恢复声誉
显然,Fb很清楚怎样利用这项规定。9月28日,Fb就公开承认在9月25日遭到黑客攻击,5000万用户(这一数字在调查後下降至2800万)被迫登出,邮箱、电话等基本资料外泄。虽然遭遇黑客攻击和发现漏洞是同一天,但Fb显然优先处理前一个更为重要的问题。
不过最终违规与否,还是需要爱尔兰数据保护委员会定夺。该委员会传讯部门负责人多伊尔(Graham Doyle)14日表示,自五月来已收到好几次Fb违反条例的报告,将「从本周起进行法定调查」。Fb一旦被裁定违法,可能面临最高可达企业全球年营收的4%的天价罚款。若以Fb在2017年352亿欧元收入计算,该公司最高被罚14亿欧元(约123.7亿港元)。
有分析人士认为,Fb从今年3月的「数据门」丑闻以来,名誉一路狂跌,若还故意利用法律漏洞延期上报,可能破坏Fb向用户及监管单位确保加强保护用户私隐的可信度。
【华发网根据大公报采编】
|
|