2024 年 9 月 28 日

爱尔兰数据保护委员会 (DPC) 对 Meta Ireland 处以 9100 万欧元罚款，原因是该公司多次违反欧盟《通用数据保护条例》 (GDPR)，涉及在未加密的情况下无意存储用户密码。

爱尔兰 DPC 在新闻稿中宣布，2019 年，Meta Platforms Ireland Limited (MPIL) 通知监管机构和客户，其内部系统中以“纯文本”形式存储了“数百万”个密码。

根据 GDPR 第 60 条的要求，DPC 于 2024 年 6 月向欧盟/欧洲经济区其他相关监管机构提交了一份决议草案。其他机构对该决议草案没有提出异议。

DPC 的裁决记录了以下违反 GDPR 的调查结果：

• GDPR 第 33(1) 条，因为 MPIL 未能向 DPC 通报有关以纯文本形式存储用户密码的个人数据泄露事件；

• GDPR 第 33(5) 条，因为 MPIL 未能记录有关以纯文本形式存储用户密码的个人数据泄露；

• GDPR 第 5(1)(f) 条，因为 MPIL 未使用适当的技术或组织措施来确保用户密码的适当安全，防止未经授权的处理；并且

• GDPR 第 32(1) 条，因为 MPIL 没有实施适当的技术和组织措施来确保与风险相适应的安全级别，包括确保用户密码持续保密的能力。

https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta