从 Facebook 数据泄露和 Twitter 用户追踪事件中看，

小提示：您能找到这篇{从 Facebook 数据泄露和 Twitter 用户追踪事件中看，}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的从 Facebook 数据泄露和 Twitter 用户追踪事件中看，内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

作者：APUS 研究院（ID：apusapps）

出海注：本文是 APUS 研究院发布在出海 APUS 专栏、GDPR 系列文章中的第六篇。转载须保留本段文字，并注明作者和来源。商业转载/使用请前往 ，联系寻求作者授权。

GDPR 正式实施后，爱尔兰的数据保护监管机构就数据保护问题对多个互联网大厂展开了调查。近期，针对 Facebook、Twitter 的调查占据了全球各大媒体头条。下面小编就带领大家分析这两个备受瞩目的数据保护热点事件。

Facebook 用户数据泄露

9 月末，Facebook 首次向公众披露公司的系统遭到黑客袭击。事件经过是公司内部的工程师团队在 9 月 14 日发现，产品中的三项安全漏洞遭到黑客攻击，在 9 月 27 日通过一系列技术手段修补了这些漏洞，并且积极向数据监管机构同步了此次数据泄露的情况。同时 Facebook 指出，大约 5000 万用户的访问权限因此次黑客攻击受到了影响。然而，几个星期后，Facebook 认为受影响的人数减少到 3000 万，理由是公司之前过高估计了此次黑客袭击的影响范围。即便砍掉了近半受影响用户数，但多达 3000 万账户数据泄露的事实，再次让 Facebook 成 为舆论焦点。

在 Facebook 已经确定的 3000 万用户中，约有 2900 万用户的重要个人信息如姓名、联系人等被公开。这其中约有 1400 万用户的其他个人信息如性别、亲友关系、家乡、生日以及最近打卡的位置信息也被无辜截取。对于剩下的 100  万人，Facebook 表示黑客掌握了他们的登陆信息后，目前还没有显示任何信息被访问。为了尽力弥补这次数据泄露事件带来的不良后果，Facebook 公布了供用户进行账户受影响情况查询的网站。在这个网站上，用户可以透过网站查看账户是否受到影响以及账户的暴露程度。此外，Facebook 还向受到影响的 3000 万人陆续发送消息提醒，解释攻击者可能访问了哪些信息，以及他们可以采取哪些方式保护自己的数据。

10 月 3 日，爱尔兰数据保护监管机构正式在官网披露，开始调查 Facebook 泄密事件。对于遭到攻击的原因，Facebook 只是向爱尔兰数据保护机构表示他们的内部调查仍在继续，并且该公司将继续采取补救措施以减轻用户的潜在风险。但是，根据《财富》网站的新闻报道，已经有匿名知情人士透露，这可能是一家不知名的数字营销公司通过发送大量垃圾邮件攻击了 Facebook 的基础软件架构。Facebook 之所以明确对外表示拒绝透露调查的具体内容，是因为美国联邦国家调查局也介入了这一事件并积极展开调查，同时要求 Facebook 不要讨论这次攻击的可能来源。

在 2018 年的前三个季度，Facebook 的数据安全漏洞问题已经多次见诸报端并引起用户和广告商的不满。对此，Facebook 的创始人扎克伯格公开承诺，他们将继续推进数据安全的保护，并将在本年底将安全团队的人员扩大到 20000 人，以防止 Facebook 的核心业务由于数据安全问题受到影响。

Twitter 追踪用户数据

来自伦敦大学学院的技术政策研究员迈克尔 维尔（Michael Veale）在今年早些时候向 Twitter 提出了一项请求，希望实现 GDPR 下用户对于数据处理的知情权。他在请求里要求 Twitter 提供其缩短的分享链接机制追踪到了关于他的具体数据信息。但是在他发出以上请求后，Twitter 以公司提供这些数据需要付出“不成比例的努力”为由拒绝了他的要求。同时，Twitte r称，使用 t.co 的短链接的目的除了通过 Cookies 追踪统计用户链接被点击的次数，也是公司保护用户免受恶意网站攻击、保障用户数据安全的重要手段。

Twitter 的理由并没有让维尔先生信服，他认为 Twitter 可能利用短链接追踪并收集用户的时间戳和所使用的设备等信息，并极有可能利用这些数据计算用户的位置。随后，他在 8 月份向爱尔兰数据保护监管机构提出了针对 Twitter 的投诉。而就在 10 月 13 日，爱尔兰数据保护监管机构的发言人在一份声明中说：“在收到用户对 Twitter 拒绝提供数据处理详情的投诉后，数据保护委员会已经在上周开展了一项法定调查，调查的主要内容在于确定 Twitter 的前述行为是否有违反 GDPR 的情形。许多人似乎都在好奇，GDPR 巨额的罚款名单是不是又要增加一员“猛将”，但每日邮报的分析文章指出，Twitter 由于违反 GDPR 触发最高罚款的可能性不高，毕竟不像前面的 Facebook 一直处在舆论的风口浪尖，这只是它在遵守数据隐私规则方面所遭受的第一次调查。

关注重点

爱尔兰数据保护监管机构尚未公开调查结果，我们也不知道 Facebook 和 Twitter 这次是否会被欧洲数据保护监管机构当做“杀鸡儆猴”的典型。但是根据以上披露出来的新闻事实，我们可以总结出目前监管机构在数据合规方面关心的重点：

1. 个人数据的安全性问题

在 Facebook 事件中，监管机构应该会重点审查 Facebook 是否遵守了 GDPR 中规定的义务，即是否实行了足够的技术和组织措施，以确保其处理的个人数据的安全性。技术保障措浙江卫视打广告施包括个人数据的假名化和加密，保证数据处理系统的快速恢复；以及在组织上采取一定的措施识别和阻止数据泄露，确保数据安全以及识别和分类个人数据。同时，GDPR 还要求数据的控制者和处理者谨防“数据泄露”，进一步履行数据安全保护的义务。在防止数据泄露的手段中，企业如何防止未经授权的使用或访问，对数据保护发挥着至关重要的作用。

2. 用户对其数据享有各项权利的实现问题，比如访问权（Access）

在针对 Twitter 的投诉事实里，维尔提出 Twitter 不愿意提供用户所需要的对数据处理的信息。

从 GDPR 上看，我们认为爱尔兰监管机构可能会重点审查数据主体权利的实现问题。GDPR 一项重要的要求，就是用户有权利知道数据处理的目的，并且享有对自身数据进行管理的权利。

3. 企业本身处理用户个人数据是否遵循了最小化等原则

维尔在投诉中提出，Twitter 对于短链接在后台的追踪等数据处理，有极大的可能已经超出了数据处理的目的所需要的人民舆情监测限度。

在个人数据处理的相关原则部分，GDPR 要求企业尽量减少处理个人数据的数量，要求企业对于个人数据的处理需要充分、相关且限制在数据处理目的所需的最小范围内。这个被称科思世通怎么样为“数据最小化”原则，也是 Twitter 在数据处理中可能被挑战的一个方面。

启示

爱尔兰此番针对 Facebook 和 Twitter 的调查，为企业数据合规工作的开展上了生动又具体的一课。因此，当下把数据作为重要资产和“燃料”的互联网企业，应该注意在数据处理上严格遵守“数据最小化”的处理原则，保障用户权利，并在发生数据泄露事件后采取积极措施以降低影响。另外，小编想强调的是，数据安全也是数据合规中的重要环节，是我们搭建数据合规体系最重要的支点，离开数据安全的数据合规建设将会是无源之水，无本之木。