【安全圈】Twitter 因违反数据保护条例被欧盟罚款 55 万美元

据报道，爱尔兰数据保护委员会（DPC）今日对Twitter处以45万欧元（约合54.7万美元）的罚款，原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》（GDPR）的规定，及时公布并妥善记录一起数据泄露事件。

分析人士称，这一罚款决定备受关注，因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构，目前正在调查20多起案件，涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。

此次DPC对Twitter的调查始于2019年1月，调查发现，Twitter违反了GDPR第33（1）条和第33（5）条之规定，没有及时向DPC通知违规行为，也没有充分记录违规行为。为此，DPC对Twitter处以45万欧元的行政罚款。

DPC去年1月底曾宣布，正在对Twitter的数据泄露事件发起调查。在此之前，DPC接到Twitter的通知，称发生了数据泄露事件。

GDPR规定，大多数违反个人数据的行为，必须在管制员察觉到违规行为后72小时内，通知给有关监管机构。此外，该规定还要求服务提供商记录涉及哪些数据，以及他们是如何应对安全事件的，以便相关数据主管可以检查其合规性。

而对于本事件，Twitter同时违反了上述两条规定。根据GDPR规定，违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚，具体以数额更高者为准。

值得一提的是，受DPC调查的影响，Twitter也从中吸取了教训。今年7月，在遭遇公司历史上最严重的安全破坏事件数日后，Twitter主动向DPC报备该事件。

DPC此时宣布对Twitter的罚款决定，也正值一个关键期，即欧盟稍晚些时候将推出两部新的法规，《数字服务法案》（Digital Services Act）和《数字市场法案》（Digital Markets Act），以急速区域数字化。

上周，法国数据保护机构“国家信息与自由委员会”（CNIL）曾宣布，对谷歌处以1亿欧元（约合1.21亿美元）的罚款，原因是其搜索引擎对Cookie的管理方式不当。此外，CNI还对亚马逊处以3500万欧元的罚款，原因是未经用户同意在他们的电脑上放置了Cookie。