数据泄露13个天价罚金！拿给胆子大的老板看一看

我国网约车公司滴滴全球被中国网信办罚款80.26亿元人民币（11.9亿美元），原因是其违反了我国的《网络安全法》、《数据安全法》和《个人信息保护法》等相关法律法规。滴滴公司在声明中表示，它接受我国网络安全监管机构的处罚决定。此外，滴滴在被处罚前还因“涉嫌非法活动”而进行了长达一年的调查。

2021年夏天，零售巨头亚马逊的财务记录显示，亚马逊因违反GDPR而被卢森堡数据保护局开出7.46亿欧元（8.77亿美元）的罚单。根据网络安全供应商Tessian的一篇博客文章，罚款背后的真相尚未得到证实，但坊间传闻涉及cookie协议。亚马逊正在对罚款提出上诉，一位亚马逊的发言人表示，“没有数据泄露，也没有客户数据暴露给任何第三方。”

2017年，Equifax的一个数据库中存在未修补的Apache Struts框架，导致近1.5亿人的个人及财务信息泄露。该公司在发布补丁数月后仍未能修复一个关键漏洞，在发现漏洞数周后也未及时向公众通报。于是在2019年7月，Equifax与联邦贸易委员会、消费者金融保护局（CFPB）以及美国所有50个州和地区就“未能采取合理措施保护其网络安全”达成和解，同意支付5.75亿美元，后续可能增至7亿美元

据和解协议披露，Equifax需支付3亿美元建立一个为受影响消费者提供信用监控服务的基金（如金额不足补偿消费者，将再增加1.25亿美元），另支付1.75亿美元拨给48个州、哥伦比亚特区和波多黎各，最后还需支付1亿美元拨给CFPB。和解协议还要求该公司每两年提供一份其信息安全计划的第三方评估报告。联邦贸易委员会主席Joe Simons表示，利用个人信息获利的企业有额外的责任来保障这些数据的安全。对Equifax处罚主要是因其未能采取可能阻止影响约1.47亿消费者的基本措施。

Equifax已因2017年的数据泄露事件在英国被罚款50万英镑（约合 62.5 万美元），这是自1998年颁布《数据保护法》（GDPR颁布前）以来所开出的最高罚单。2020年，Equifax 被要求支付更多与漏洞相关的赔偿金：向美国的金融机构支付775万美元（外加200万美元的法律费用），以及分别向马萨诸塞州和印第安纳州支付1820万美元和 1950 万美元。

2022年9月，爱尔兰数据保护专员（DPC）根据《GDPR》的条款，对Instagram侵犯儿童隐私的行为处以罚款。这起旷日持久的投诉涉及未成年人的个人信息，其中包括电话号码和电子邮件地址。此外，如果用户将个人资料升级为商业用户时（为获取个人资料访问等分析工具），这些数据将进一步扩散。

Instagram背后的Meta公司对该处罚提出上诉。Meta的一位发言人在BBC新闻上表示，这次调查的重点是其一年多前更新的旧设置，此后Instagram发布了许多新功能，以帮助保护青少年的安全和信息隐私。在调查过程中，Meta与DPC进行了多次沟通，但其对于罚款的计算方式仍有争议，因此打算提出上诉。

全国防止虐待儿童协会（NSPCC）儿童安全在线政策负责人Andy Burrows表示，这是一起重大违规事件，对保护儿童安全方面有重要影响，并有可能对使用Instagram的儿童造成真正的伤害。这一裁决表明了执法是如何在社交媒体上保护儿童，并强调了监管是如何使儿童在网上更安全。

2023年9月，根据GDPR法律，TikTok因侵犯儿童数据隐私而被爱尔兰数据保护委员会（DPC）处以3.45亿欧元（3.7亿美元）的罚款。DPC发现，TikTok在隐私设置方面对儿童不够透明，并对如何处理他们的数据提出了质疑。

该调查针对在2020年7月31日至2020年12月31日期间，TikTok在以下情况下以多大程度遵守了GDPR规定的义务：

IDC表示，作为调查的一部分，DPC还审查了TTL的某些透明度义务，包括在默认设置方面向儿童用户提供信息的程度。DPC的决定于2023年9月1日通过，其中记录了对违反 GDPR 第5(1)(c)、5(1)(f)、24(1)、25(1)、25(2)、12(1)、13(1)(e) 和 5(1)(a)条的调查结果，这些条款涉及数据安全、数据保护设计和数据处理等一系列问题。

2022年7月，移动通信巨头T-Mobile宣布了一项合并集体诉讼的和解条款，该诉讼是2021年初 T-Mobile 发生的一起数据泄露事件，其中估计有 7700 万人受到影响。该事件的核心是，在一个已知的网络犯罪论坛上挂牌出售部分客户数据后，T-Mobile的系统遭到了"未经授权的访问"。美国证券交易委员会（SEC）的一份文件显示，T-Mobile 将支付总计 3.5 亿美元，用于赔付集体诉讼成员提出的索赔、原告律师的法律费用以及和解的管理费用。该公司还将承诺在 2022年和2023年为数据安全和相关技术累计增支1.5亿美元。

和解协议上指出，在获得法院批准后，将完全免除集体诉讼成员因网络攻击而对所有被告（包括T-Mobile公司、其子公司和关联公司及其董事和高管）提出的索赔，集体诉讼成员不得选择退出。该和解协议不承认任何被告的责任、不法行为或义务。集体诉讼成员包括所有在此次信息泄露事件中个人信息被泄露的个人，但协议中规定的某些例外情况除外。T-Mobile表示，拟议和解的条款与其他类型的索赔和解条款一致。

2022年11月，爱尔兰数据保护委员会（DPC）对Meta公司处以2.77亿美元的罚款，原因是该公司泄露了5亿用户的个人信息。DPC于2021年4月14日对其进行调查，此前有报告称互联网上出现了一组打包好的Facebook个人数据。调查范围包括检查和评估Facebook搜索、Facebook Messenger联系人导入工具和Instagram联系人导入工具在2018年5月25日至2019年9月期间由 Meta Platforms Ireland Limited（MPIL）进行的相关处理。

DPC表示，本次调查中的重要问题涉及是否遵守了GDPR的设计和默认数据保护义务。DPC根据GDPR第25条审查了该组织应用的技术和措施的实施情况。值得注意的是，该调查经过了欧盟及其他数据保护监管机构的同意。DPC对 MPIL 进行了训斥，并下令要求MPIL在特定时限内采取一系列指定的补救措施，使其处理过程符合要求。

2021 年 8 月，Facebook 旗下的通讯应用程序WhatsApp 在爱尔兰的跨境数据保护行为发生违规，被爱尔兰当局罚款 2.25 亿欧元（约合 2.55 亿美元）。针对WhatsApp 的调查是在2018年开始，在长达三年的调查和执法过程后最终决定处于2.55 亿美元的罚款。起初，数据保护委员会提出的制裁决定遭到了欧洲数据保护监管机构的拒绝，最终由欧洲数据保护委员会做出最终裁决。裁决依据主要集中在 WhatsApp 服务用户和非用户的投诉，其中涉及违反GDPR第12、13和14条规定的透明度和数据主体信息义务。

2014年，家得宝卷入了迄今为止涉及POS系统的最大数据泄露事件之一，并因此支付了大量罚款和赔偿金。攻击者通过从第三方盗取的凭证进入家得宝的网络，提升权限，最终入侵了POS系统。在2014年4月至9月的五个月时间里，超过5000万个信用卡号和5300万个电子邮件地址被盗。

据报道，家得宝公司已向信用卡公司和银行支付了至少1.345亿美元。此外，2016年，家得宝公司同意向受漏洞影响的客户支付1950万美元，其中包括向漏洞受害者提供信用监控服务的费用。2017年，该公司同意向受漏洞影响的金融机构额外支付2500万美元，以弥补受害者向银行索赔而带来的损失。

2020 年 11 月，家得宝公司又向美国46个州和华盛顿特区支付了1750万美元的违约赔偿金。该协议还要求家得宝公司聘用一名高素质的CISO，为关键人员提供安全培训，并确保在身份和访问、监控和事件响应等方面的安全控制和政策。

2021 年 12 月，Capital One 同意支付1.9亿美元，以了结美国客户对其提起的集体诉讼。这一和解是在美国货币监理署在2019年数据泄露事件中对Capital One罚款8000万美元，一年后Capital One与美国客户达成和解。

AWS 的一名软件工程师是这次攻击的幕后黑手，这次攻击暴露了包括银行账户详细信息在内的信息。向弗吉尼亚州东区美国地区法院提交的一份文件中表明，虽然 Capital One 和 AWS 拒绝承担所有责任，但为了避免继续诉讼所耗费的时间、费用和不确定性，原告和Capital One已经签署了一份和解书，其中包含集体和解的基本条款，如果获得法院批准，将完全解决原告提出的所有索赔要求。

Capital One在一封电子邮件声明中表示，自两年多前与联邦当局协调宣布这一事件以来，案件的关键事实并没有改变，黑客已被逮捕，被盗数据在传播或用于欺诈目的之前已被追回。该公司表示：“我们很高兴与美国消费者达成和解协议。”

2016 年，知名叫车平台Uber（优步）有60万司机和5700万用户账户被勒索攻击。该公司没有对监管机构报告这一事件，而是向攻击者支付了 10 万美元，以掩盖其保护不当。然而，这种行为让公司付出了惨重的代价。2018 年，该公司因违反各州数据泄露告知法案被罚款1.48亿美元，这是当时史上最大的数据泄露罚款金额。

2022年1月，投资银行和金融服务巨头摩根士丹利同意支付6000万美元，以解决与其数据安全有关的法律索赔。该协议如果获得曼哈顿联邦法官的批准，将解决2020年7月对该公司发起的集体诉讼。该诉讼涉及两起安全漏洞事件，泄露了约1500万客户的个人数据。据原告表示，摩根士丹利采用了外包供应商在2016年和2019年淘汰了一部分数据中心的硬件设备，而外包供应商在淘汰工作中未能有效清除数据，这导致购买这批设备的买家可以看到现有客户和前客户的个人身份信息（PII）及其他未加密的敏感数据。

在摩根士丹利被美国货币监理署（OCC）处以6000万美元的一年多以后，OCC提出了和解建议。OCC 指出，摩根士丹利未能对2016年位于美国的两个财富管理业务数据中心的淘汰工作进行适当监督。此外，摩根士丹利还未能有效评估或解决与硬件淘汰相关的风险；未能充分评估外包供应商的风险（包括在选择供应商和监控其表现方面进行充分的尽职调查；未能对存储在淘汰硬件设备上的客户数据保持适当的库存等等）。

2022年1月6日，法国数据保护机构CNIL对谷歌爱尔兰公司处以9000万欧元（约合1.02亿美元）的罚款。罚款与谷歌欧洲分公司如何在 YouTube上执行Cookie协议程序有关。CNIL表示其收到了许多关于在google.fr和youtube.com网站上拒绝cookie方式的投诉。2021年6月，CNIL对这些网站进行了在线调查，发现这些网站为用户提供了一个允许立即接受Cookie的按键，但却没有提供一个让用户拒绝Cookie存入的按键或其他方式。用户需要多次点击才能拒绝所有cookie，而接受cookie只需要点击一次。限制委员会认为，这一程序影响了互联网用户的同意自由，违反了《法国数据保护法》第 82 条。

数据泄露事件往往会与企业及消费者息息相关。相对于企业，个人往往会因数据泄露而面临着更大的风险，电诈团伙可能会利用个人信息编织更缜密的陷阱，亦或是利用个人信息进行威胁和人肉恐吓。因此，保障数据安全是企业必须肩负起的责任，而如何保护也是很多企业面临的挑战。通过上述案例，笔者总结出了几个观点，一家之言或许存在争议，但也希望更多企业能够发现和关注。

对于企业来说，数据泄露是一个持续存在的问题，但不能因其长期存在就选择忽视或任由其发展。当今这个数字化时代，数据已然被视为一种有价值的资产。对于企业来说，活用数据不仅能够降本增效，还能在日趋激烈的市场竞争中占据优势，从而获得有利地位。部分企业往往在收集和使用数据时非常主动，在保护数据方面却漠不关心，似乎只要满足监管的最低要求就足够了。但从上述的例子可以看出，单纯只满足监管要求是远远不够的，就像联邦贸易委员会主席Joe Simons所提出的那样，利用个人信息牟利的企业应该对其负有额外的责任。