Meta旗下WhatsApp违反了欧盟隐私法，被DCP罚款550万欧元

11月27日，该公司重申系统漏洞已经于2019年修正。Meta发言人表示，该公司将审查此次罚款的详细情况，以决定是否对罚款提起上诉。由于信息泄露，过去15个月中，爱尔兰DPC已经对Meta及旗下社交软件WhatsApp和Instagram展开三次调查，总罚款额超过9亿美元。其中最大一笔发生在今年9月，Meta旗下社交软件Instagram由于保护儿童数据不力，被处以4.05亿欧元罚款。路透社称，该监管机构已对上述科技公司展开40项调查。

由于进一步违反了欧盟隐私法，Meta旗下WhatsApp于1月19日被欧盟主要隐私监管机构爱尔兰数据保护委员会罚款550万欧元，并要求WhatsApp重新评估如何使用个人数据来改善服务。

调查结论之一，便是将非WhatsApp注册用户的电话号码认定为个人数据。该机制被称为一站式。主要监管机构应当与其他相关监管机构按照合作条款的要求努力达成共识。2018年12月爱尔兰数据保护局开始调查，在2019年时形成了调查报告初稿、在2020年底形成了决定草案并提交给相关的监管机构。2021年7月，EDPB作出决定。WhatsApp抗辩有损哈希构成匿名化，因此不需要履行GDPR项下相应的义务。

WhatsApp因未能履行 GDPR 透明度义务而被爱尔兰数据保护委员会 (DPC)罚款 2.25 亿欧元。

以色列间谍软件公司NSO Group涉嫌利用一种新颖的“彩信指纹”攻击来针对WhatsApp上未经怀疑的用户，无需用户交互即可暴露他们的设备信息。瑞典电信安全公司Enea的最新报告揭示了广泛使用的消息传递平台WhatsApp中的安全漏洞。

欧洲监管机构不是第一次对美数字企业的违规行为进行警告，此次处罚也远不是欧洲第一次对美相关企业对欧洲的利益侵蚀作出强烈反击，数据传输更不是欧美间持续博弈与争夺的唯一话题，但其所反映的恰是欧美传统跨大西洋伙伴关系发展到当下无法回避的结构性难题。

爱尔兰数据保护委员对Instagram进行了为期2年的调查后，确定其违反了欧盟一般数据保护法规，因此，确认了上诉处罚。该委员会代表整个欧盟监管Meta，4.03亿美元是该监管机构对Meta开出的最高罚单。2022年3月，该公司又被处以1700万欧元的罚款。据了解，这是根据GDPR规定对一家公司开出的第二高的罚单，仅次于2021年7月对亚马逊处以的7.46亿欧元罚款。

编者按 2021年，全球范围内对于人工智能的监管已经开始从理论探讨走向实际的立法和执法阶段，标志性的事件就是欧盟提出了《欧洲议会和理事会关于制定人工智能统一规则（《人工智能法》）和修正某些欧盟立法的条例》的提案，以及我国国家互联网信息办公室发布的《互联网信息服务算法推荐管理规定》。

研究人员发现，以色列NSO集团的客户合同里提到一项彩信指纹技术，可以无感知侦查全球任意智能手机的系统信息，可结合其间谍软件实施定向针对性植入；调查后研究员发现，NSO并未利用漏洞，而是滥用了彩信机制，并成功复现了这一攻击手法。通信运营商可通过配置使用户规避这一攻击。

编者按： 关于企业上市全过程中的数据安全、网络安全和个人信息保护方面的监管重点、风险和应对，DPO社群中的很多同仁发表过一些文章： 企业上市过程面临的数据合规问题和相关风险：境外篇 2021版（DPO社群成员观点） 从墨迹IPO被否看拟境内上市企业的数据合规工作（DPO社群成员观点） 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点） 企业上市过程面临的数据合规问题和相关风