迄今为止全球最大的数据泄露和罚款案例

图片

近年来，因数据泄露而导致的巨额罚款表明，监管机构越来越严肃地打击未能妥善保护消费者数据的组织。

Meta 因非法将个人数据从欧盟传输到美国而被处以 13 亿美元的罚款，在最近的大额制裁名单中名列前茅，另外一项对中国公司滴滴全球的罚款因违反该国的数据保护法而被处以 10 位数的罚款。第三大处罚是 2021 面对亚马逊的 8.77 亿美元罚款，原因是亚马逊违反了欧洲的《通用数据保护条例》（GDPR）。

Meta （Facebook） ： 13 亿美元

2023 年 5 月，爱尔兰数据保护委员会 （DPC） 结束了对其于 2020 年 8 月发起的 Meta Platform Ireland Limited（“Meta Ireland”）的调查，向这家社交媒体巨头收取了 12 亿欧元（13 亿美元）的违反 GDPR 的罚款费用。关于 GDPR 第 46（1） 条，爱尔兰隐私监管机构指责 Meta Ireland 将个人数据从欧盟或欧洲经济区 （EEA） 传输到美国，而没有采取与其 Facebook 服务交付相关的适当数据隐私保护措施。Meta 全球事务总裁尼克·克莱格 （Nick Clegg） 表示：“我们打算对该决定的实质内容及其命令（包括罚款）提出上诉，并将通过法院寻求暂停实施日期。

滴滴全球：11.9 亿美元

中国网约车公司滴滴全球被中国国家互联网信息办公室罚款 80.26 亿元人民币（11.9 亿美元），此前该公司认定该公司违反了国家网络安全法、数据安全法和个人信息保护法。滴滴全球在一份声明中表示，它接受了网络安全监管机构的决定，该决定是在对该公司的安全做法和“涉嫌非法活动”进行了长达一年的调查后做出的。

亚马逊：8.77 亿美元

2021 年夏天，零售巨头亚马逊的财务记录显示，卢森堡官员因违反 GDPR 而开除了 7.46 亿欧元（当时为 8.77 亿美元）的罚款。亚马逊对罚款提出上诉，发言人表示，“没有数据泄露，也没有客户数据暴露给任何第三方。

2018 年 5 月，代表 10,065 名个人投诉人，对亚马逊提出原始数据保护投诉的法国数字权利组织 La Quadrature du Net 表示，这并不奇怪，因为其长大 19 页的投诉针对的是亚马逊在未经充分同意的情况下运营行为广告系统，而不是间歇性的个人数据泄露。

Equifax：（至少）5.75 亿美元

2017 年，Equifax 丢失了近 1.5 亿人的个人和财务信息，原因是其一个数据库中的 Apache Struts 框架未打补丁。该公司在补丁发布数月后未能修复关键漏洞，然后在发现漏洞后的几周内未能通知公众。

2019 年 7 月，该信贷机构同意支付 5.75 亿美元（可能增加到 7 亿美元），与联邦贸易委员会、消费者金融保护局 （CFPB） 和美国所有 50 个州和地区达成和解，原因是该公司“未能采取合理措施保护其网络”。

其中 3 亿美元将捐给一个为受影响的消费者提供信用监控服务的基金（如果首笔付款不足以补偿消费者，将再增加 1.25 亿美元），1.75 亿美元将捐给 48 各州、哥伦比亚特区和波多黎各，1 亿美元将捐给 CFPB。和解协议还要求该公司每两年对其信息安全计划进行一次第三方评估。

“从个人信息中获利的公司负有额外的责任来保护这些数据，”FTC 主席乔·西蒙斯 （Joe Simons） 说。“Equifax 未能采取基本措施，可能导致约 1.47 亿消费者隐私受到影响。”

Equifax 已因 2017 年的违规行为在英国被罚款 500,000 英镑 [~625,000 美元]，这是 1998 年 GDPR 之前的数据保护法允许的最高罚款。

2020 年，Equifax 被要求支付与泄露相关的进一步和解金：向美国金融机构支付 775 万美元（外加 200 万美元的法律费用），以及分别向马萨诸塞州和印第安纳州支付 1820 万美元和 1950 万美元。

Meta（Facebook、Instagram）：4.13 亿美元

爱尔兰数据保护委员会 （DPC） 于 2023 年 1 月宣布，从 GDPR 开始实施之日（2018 年 5 月 25 日）开始，对 Meta 在欧洲地区的数据处理业务进行了两次调查，发现 Meta 平台“与交付其 Facebook 和 Instagram 服务有关”违反了 GDPR。Meta Ireland 因 Facebook 违规被罚款 2.1 亿欧元（2.25 亿美元），因 Instagram 违规被罚款 1.8 亿欧元（1.93 亿美元）。

Meta 对 Facebook 和 Instagram 服务的数据处理操作违反了 GDPR 的几项条款，包括与违反透明度和信息义务有关的第 5 （1） a） 项、第 6 条第 （1） 项、第 12 项和第 13 （1） c项。

Instagram：4.03 亿美元

2022 年 9 月，爱尔兰数据保护专员 （DPC） 因 Instagram 违反 GDPR 条款侵犯儿童隐私而对其处以罚款。这项长期投诉涉及属于未成年人的数据，尤其是电话号码和电子邮件地址。

Instagram 的所有者 Meta 表示，它计划对这一决定提出上诉。“这项调查的重点是我们在一年多前更新的旧设置，此后我们发布了许多新功能，以帮助保护青少年的安全和他们的信息隐私，”一位 Meta 负责人告诉 BBC 新闻。“虽然我们在 DPC 的整个调查过程中与 DPC 进行了充分接触，但我们不同意这笔罚款的计算方式，并打算对此提出上诉。”

全国防止虐待儿童协会 （NSPCC） 儿童安全在线政策负责人安迪·伯罗斯 （Andy Burrows） 表示：“这是一起重大违规行为，具有重大的保护影响，并有可能对使用 Instagram 的儿童造成真正的伤害。该裁决展示了有效的执法如何保护社交媒体上的儿童，并强调了监管如何使儿童在网上更安全。

TikTok：3.45 亿欧元（3.7 亿美元）

2023 年 9 月，TikTok 因违反 GDPR 法律侵犯儿童数据隐私而被爱尔兰数据保护委员会 （DPC） 处以 3.45 亿欧元（3.7 亿美元）的罚款。DPC 发现 TikTok 对其隐私设置不够透明，并对他们的数据如何处理提出了质疑。

该调查旨在审查在 2020 年 7 月 31 日至 2020 年 12 月 31 日期间，TikTok 在多大程度上遵守了 GDPR 规定的义务，即在以下情况下处理与 TikTok 平台儿童用户相关的个人数据：

某些 TikTok 平台设置，包括默认设置以及与家庭配对功能相关的设置。

年龄验证是注册过程的一部分。

“作为调查的一部分，DPC 还审查了 TTL 的某些透明度义务，包括向儿童用户提供的与默认设置相关的信息的范围，”IDC 表示。DPC 的决定于 2023 年 9 月 1 日通过，记录了违反 GDPR 第 5 条第 （1） 款第 （c） 项、第 5 条第 （1） 款第 （f） 项、第 24 条第 （1） 款、第 25 条第 （1） 款第 25 款第 （2） 项、第 12 条第 （1） 款第 1 项、第 13 条第 （1） 款第 （e） 项和第 5 条第 （1） 款第 （a） 项的调查结果，涉及一系列事项，包括数据安全、数据保护设计和数据处理。

这家社交媒体公司的一位发言人告诉媒体，“我们尊重但不同意这一决定，尤其是处以的罚款金额。

T-Mobile：3.5 亿美元

2022 年 7 月，移动通信巨头 T-Mobile 宣布了在 2021 年初发生数据泄露事件后合并集体诉讼的和解条款，该事件影响了大约 7700 万人。该事件的重点是在部分客户数据在已知的网络犯罪论坛上挂牌出售。在提交给美国证券交易委员会的文件中，透露 T-Mobile 将支付总计 3.5 亿美元，以补偿集体成员提交的索赔、原告律师的法律费用以及管理和解的费用。该公司还将承诺在 2022 年和 2023 年为数据安全和相关技术增加 1.5 亿美元的总支出。

LinkedIn：3.1 亿欧元（3.35 亿美元）

2024 年 10 月，爱尔兰数据保护委员会 （DPC） 对 LinkedIn 处以 3.1 亿欧元（3.35 亿美元）的罚款，原因是未经适当同意处理用户数据，违反了 GDPR。Microsoft 拥有的平台在未获得透明、知情或明确同意的情况下，将会员的个人信息用于行为分析和定向广告。这笔罚款是针对科技公司因违反 GDPR 而征收的最大罚款之一。LinkedIn 计划修改其广告做法以符合 DPC 的要求，尽管它声称它认为它已经遵守了该法规。

Meta （Facebook）：2.77 亿美元

2022 年 11 月，爱尔兰数据保护委员会 （DPC） 因泄露 5 亿用户的个人信息而对 Meta 处以 2.77 亿美元（2.65 亿欧元）的罚款。DPC 于 2021 年 4 月 14 已开始调查，此前有报道称互联网上提供了经过整理的 Facebook 个人数据数据集。

调查范围涉及对 Facebook 搜索、Facebook Messenger Contact Importer 和 Instagram Contact Importer 工具的审查和评估，这些工具与 Meta Platforms Ireland Limited（“MPIL”）在 2018 年 5 月 25 日至 2019 年 9 月期间进行的处理有关。

“本次调查中的重大问题涉及遵守 GDPR 的数据保护设计和默认数据保护义务的问题，”DPC 写道。“DPC 根据 GDPR 第 25 条（涉及这一概念）审查了技术和组织措施的实施情况。有一个全面的调查过程，包括与欧盟内所有其他数据保护监管机构的合作。这些监管机构同意 DPC 的决定。

该决定施加了谴责和命令，要求 MPIL 通过在特定时间范围内采取一系列指定的补救措施来使其处理符合规定。

Meta （Facebook）：2.635 亿美元

2024 年 9 月，爱尔兰数据保护委员会 （DPC） 对 Meta 处以 2.51 亿欧元（2.635 亿美元）的罚款，原因是 2018 年 Facebook 泄露事件暴露了 2900 万用户的个人数据。该漏洞是由“查看方式”功能中的缺陷引起的，泄露了敏感信息，例如姓名、联系方式和位置。

尽管解决并报告了该问题，但 Meta 仍面临违反 GDPR 的行为，Meta 计划对罚款金额提出上诉，理由是自事件发生以来它为加强用户数据保护而采取的措施。

Meta （WhatsApp：） 2.55 亿美元

Facebook 旗下的消息服务 WhatsApp 于 2021 年 8 月因在爱尔兰的一系列 GDPR 跨境数据保护违规行为而被罚款 2.25 亿欧元（2.55 亿美元）。罚款是在 2018 年开始的漫长调查和执法过程之后实施的，有意思的是，数据保护委员会提议的决定和制裁被其对应的欧洲数据保护监管机构拒绝，导致被移交欧洲数据保护委员会并做出裁决。

指控集中在 WhatsApp 服务的用户和非用户的投诉，涉及涉嫌违反 GDPR 第 12、13 和 14 条规定的透明度和数据主体信息义务。

家得宝：约2 亿美元

2014 年，家得宝卷入了迄今为止最大的数据泄露事件之一，涉及销售点 （POS） 系统，导致支付了大量罚款和和解金。从第三方窃取的凭据使攻击者能够进入 Home Depot 的网络，提升权限，并最终破坏 POS 系统。在 2014 年 4 月至 9 月的 5 个月期间，超过 5000 万个信用卡号码和 5300 万个电子邮件地址被盗。

据报道，由于此次泄露，家得宝已向信用卡公司和银行支付了至少 1.345 亿美元。此外，在 2016 年，家得宝同意向受数据泄露影响的客户支付 1950 万美元，其中包括向数据泄露受害者支付的信用监控服务费用。2017 年，该公司同意向受数据泄露影响的金融机构额外支付 2500 万美元，受害者可以索赔并弥补银行的损失。

违规可能会产生长期成本，尤其是在罚款和和解方面。2020 年 11 月，该零售商又向美国 46 个州和华盛顿特区支付了 1750 万美元的和解金。该协议还迫使 Home Depot 聘请高素质的 CISO，为关键人员提供安全培训，并确保身份和访问、监控和事件响应等领域的安全控制和策略。

Capital One：1.9 亿美元

2021 年 12 月，Capital One 同意支付 1.9 亿美元，以解决美国客户就 2019 年影响 1 亿人的数据泄露而对其提起的集体诉讼。这项和解是在美国货币监理署 （U.S. Office of the Comptroller of the Currency） 因同一违规行为对 Capital One 处以 8000 万美元的罚款一年多后达成的（见下文）。

AWS 的一名软件工程师是这次攻击的幕后黑手，该攻击暴露了包括银行账户详细信息在内的信息。“虽然 Capital One 和 AWS 否认所有责任，但为了避免持续诉讼的时间、费用和不确定性，原告和 Capital One 已经签署了一份条款清单，其中包含集体和解的基本条款，如果得到本法院的批准，将完全解决原告提出的所有索赔，”提交给美国弗吉尼亚州东区地方法院的一份文件中写道。

Capital One 在一份电子邮件声明中表示，自两年多前与联邦当局协调宣布该事件以来，此案的关键事实一直没有改变，黑客被捕，被盗数据在传播或用于欺诈目的之前被追回。“我们很高兴达成一项协议，将解决美国的消费者集体诉讼，”该公司补充道。

优步：1.48 亿美元

2016 年，网约车应用程序 Uber 有 600,000 名司机和 5700 万个用户账户遭到入侵。该公司没有报告这一事件，而是向肇事者支付了 100,000 美元，以掩盖黑客攻击。然而，这些行动让公司付出了沉重的代价。该公司因违反州数据泄露通知法，在 2018 年被罚款 1.48 亿美元，这是当时历史上最大的数据泄露罚款。

摩根士丹利：1.2 亿美元（总计）

2022 年 1 月，投资银行和金融服务巨头摩根士丹利同意支付 6000 万美元，以解决与其数据安全相关的法律索赔。如果得到曼哈顿联邦法官的批准，该协议将解决 2020 年 7 月针对该公司提起的集体诉讼，该诉讼涉及两起安全漏洞，泄露了大约 1500 万客户的个人数据。据索赔人称，摩根士丹利未能保护当前和前任客户的个人身份信息 （PII）。据称，该公司在 2016 年和 2019 年退役的数据中心设备没有得到有效擦除，软件缺陷意味着购买该设备的人可以看到未加密的敏感数据。

拟议的索赔和解是在摩根士丹利因同一事件被货币监理署 （OCC） 单独处以 6000 万美元的民事罚款一年多后达成的。OCC 表示，摩根士丹利未能“对 2016 对位于美国的两个财富管理业务数据中心的退役进行适当的监督。除其他外，银行未能有效评估或解决与停用其硬件相关的风险;未能充分评估分包停用工作的风险，包括在选择供应商和监控其绩效时进行充分的尽职调查;并且未能维护存储在已停用硬件设备上的客户数据的适当清单。OCC 补充说，2019 年，这些银行在停用其他也存储客户数据的网络设备方面遇到了类似的供应商管理控制缺陷。

摩根士丹利在一份关于最近和解协议的声明中表示：“我们之前已经就几年前发生的这些问题通知了所有可能受影响的客户，并且很高兴能够解决这一相关诉讼。

谷歌爱尔兰：1.02 亿美元

2022 年 1 月 6 日，法国数据保护机构 CNIL 对 Google Ireland 处以 9000 万欧元（1.02 亿美元）的罚款。罚款与 Google 的欧洲部门如何在 YouTube 上实施 cookie 同意程序有关。“CNIL 收到了许多关于 google.fr 和 youtube.com 网站上拒绝 cookie 的投诉，”它写道。“2021 年 6 月，CNIL 对这些网站进行了在线调查，发现虽然它们提供了一个允许立即接受 cookie 的按钮，但这些网站没有实施等效的解决方案（按钮或其他），使用户能够同样轻松地拒绝 cookie 的存放。需要多次点击才能拒绝所有 cookie，而一次点击就能接受它们。CNIL认为，此过程影响了互联网用户的同意自由，并构成了对法国数据保护法第 82 条的侵犯。