2024年11月5日,韩国个人信息保护委员会(Personal Information Protection Commission, 以下简称“PIPC”)因Meta Platforms (以下简称“Meta”)在没有法律依据的情况下收集并处理敏感个人信息、无正当理由拒绝用户查阅个人信息的申请以及用户个人信息泄漏,对其处以216亿2320万韩元的罚款,并要求其进行整改。
一、执法分析
1. 没有法律依据收集处理敏感个人信息
根据韩国《个人信息保护法》(以下简称“《保护法》”)第23条第1款,“敏感个人信息”包括有关思想、信念、工会或政党的加入或退出、政治观点、健康、性行为等可能严重侵犯信息主体隐私的信息。除非(1)单独征得信息主体的同意或(2)法律规定或允许处理敏感数据,数据处理者不得处理敏感个人信息。《保护法》第23条第2款进一步要求信息处理者在处理敏感个人信息时采取必要的安全措施,以确保信息安全。
Meta 通过 Facebook 个人资料收集了约98万名韩国用户的宗教信息、政治观念、是否为同性婚姻等敏感信息,并将这些信息提供给约4000家广告商。具体而言,Meta 通过分析用户在 Facebook 上的点赞页面、点击广告等行为信息,生成并运营与特定敏感信息(如特定宗教、同性恋、跨性别者等)相关的广告主题。然而,Meta 在收集并使用这些用户敏感个人信息时,仅在隐私政策中进行了不明确的说明,没有单独征得信息主体的同意,也没有采取任何保护措施。
2. 无正当理由拒绝用户查阅个人信息的请求
《保护法》第35条赋予信息主体个人信息访问权。《个人信息保护法实施令》(以下简称“《实施令》”)第41条进一步明确信息主体有权查阅的信息项目,包括(1)个人信息的项目和内容(2)收集和使用个人信息的目的(3)个人信息的保存和使用期限(4)向第三方提供个人信息的情况(5)同意处理个人信息的事实和细节。而根据《保护法》第35条第4款,数据处理者仅在以下三种情况下,可以告知消费者理由并限制或拒绝查阅:(1)根据法律禁止或限制查阅的情况;(2)可能对他人生命、身体造成危害,或不正当地侵害他人财产或其他利益的情况;(3)公共机构在进行相关工作时可能导致严重障碍的情况。
但是 Meta 拒绝了用户查阅个人信息的请求,这些请求包括查阅个人信息的处理期限、用户通过 Facebook 登陆提供个人信息的情况、数据处理者收集 Facebook 以外活动信息的依据、以及用户同意的详细情况。Meta 给出的理由是这些信息不属于《保护法》所规定的查阅范围。然而,上述信息恰恰落入《实施令》第41条规定的第3项、第4项和第5项。因此,Meta 的拒绝理由并不成立。
3. 个人信息泄漏
《保护法》第29条规定,数据处理者应采取必要的技术、管理和物理措施来确保数据安全。Meta 本应对未激活或停用的网页采取删除或屏蔽等安全措施,但其未删除已停用账户的恢复页面。黑客利用这一页面提交伪造身份证件,提出对他人账户重置密码的请求,而 Meta 未对该伪造身份证件进行充分验证即批准了请求,导致10名韩国用户的个人信息被泄露。
因此,PIPC 最终决定对 Meta 处以216亿2320万韩元的罚款,并要求 Meta 在处理敏感信息时提供合法依据并确保数据安全性,同时认真回应用户查阅个人信息的请求。未来,PIPC 将持续检查 Meta 对整改命令的执行情况。
二、合规启示
Meta这一经历为出海企业敲响了数据合规的警钟。
首先,企业在收集和处理敏感个人信息时一定要谨慎,应当准确了解各个国家敏感个人信息的定义以及处理此类数据的合法性基础,根据不同的合规要求来处理敏感个人信息。
其次,企业应建立全面的数据保护措施,包括数据加密、访问权限管理、安全监控以及定期漏洞排查等。同时,企业的数据安全管理应覆盖所有环节,包括删除或屏蔽停用的页面。
最后,企业需保障用户的数据主体权利的行使,企业应当建立便捷的查阅和响应机制,能够迅速回应用户关于个人信息处理情况的查询,并在合理时间内完成信息反馈,避免因拖延或拒绝回应而被指控侵害用户权益。
