点击右上角微信好友
朋友圈
请使用浏览器分享功能进行分享
当地时间2022年9月14日,韩国首尔江南区,谷歌创业校园玻璃窗上的谷歌标志。因未经用户同意收集个人信息用于在线广告,韩国个人信息保护委员会对谷歌和Meta予以罚款处罚。 CFP供图
□ 本报驻韩国记者 王刚
韩国个人信息保护委员会11月5日对外宣布,在该委员会4日召开的第18次全体会议上,决定对违反韩国《个人信息保护法》的美国互联网公司Meta处以216亿多韩元的行政罚款。原因是该公司非法收集旗下社交平台“脸书”用户的敏感个人信息,并与数千家广告商共享。
Meta被罚216亿韩元
经过4年的调查,韩国个人信息保护委员会得出结论,Meta在2018年7月至2022年3月期间非法收集了约980000名“脸书”用户的敏感信息,包括他们的宗教信仰、政治观点以及他们是否同性结合。
据调查结果,Meta根据“脸书”使用者在网上点赞或发表跟帖、点击广告等行为,确定使用者的宗教信仰、价值观等个人情况。根据韩国《个人信息保护法》,涉及个人思想及信念、政治见解、性生活等的信息被列为须得到严格保护的敏感信息,原则上禁止加以处理。但Meta向广告客户提供擅自收集的个人敏感信息,约4000家广告商利用了这些敏感信息。
调查发现,Meta在未获用户同意下收集并利用用户敏感信息,也未采取保护个人信息的措施。Meta以非《个人信息保护法》所规定的调阅对象为由拒绝用户调阅个人信息的要求。针对处于已停用或未激活状态的网站,Meta也未采取删除或关闭等安全措施,导致部分韩国用户的个人信息遭到外泄。
个人信息保护委员会主任李恩贞表示,Meta未能实施基本的安全措施,例如删除或阻止非活动页面,从而使“脸书”用户处于危险之中。因此,黑客能够使用非活动页面来伪造身份并请求重置其他“脸书”用户的账户密码。
据此,韩国个人信息保护委员会认定Meta违反韩国《个人信息保护法》中有关敏感信息、安全措施的规定,并对其处以216.232亿韩元的罚款。对此Meta韩国分公司方面表示,将对裁决书进行详细研究后再作后续决定。
并非首次受到处罚
这已经不是美国互联网巨头因为违反韩国《个人信息保护法》而受到处罚。此前的2022年9月,韩国个人信息保护委员会已经对美国门户网站谷歌和Meta处以总额1000亿韩元罚款,理由是未经用户同意非法收集个人信息并将其用于在线投放个性化定制广告。这也是韩国政府首次对美国互联网巨头因不遵守韩国个人信息保护法律而开出的巨额罚单。韩国个人信息保护委员会表示,这一处罚旨在敦促信息技术企业在向数字化转型的数据时代,即便需要搜集用户的个人信息用于业务发展,也必须尊重用户的个人信息自决权,实现政策透明,因此具有重大意义。
韩国个人信息保护委员会从2021年2月到2022年8月对谷歌、Meta以及NAVER、Kakao等国外和本土10多个在线定制化平台的用户行为信息收集和使用情况展开了调查。行为信息是指可以用来把握和分析用户的关注点、兴趣以及个人倾向等情况的在线活动信息,如网站和App访问与使用历史记录、购买和搜索历史记录。各大门户网站可以根据用户的行为信息分析和预估用户的倾向,向用户推送在线个性化定制广告,从而获得巨额利益。
这次调查发现,谷歌和Meta通过收集和分析旗下用户利用其他公司平台的行为信息推断用户的兴趣并用于定制广告投放,却未明确将相关情况告知用户,也未事先征得用户同意。调查结果还显示,韩国的大部分用户(82%以上的谷歌用户和98%以上的Meta用户)都对这两个平台设置了允许搜集利用其他公司平台的个人行为信息,这一情况明确违反了韩国的《个人信息保护法》第39条第3款第1项。谷歌和Meta已经在欧盟成员国向用户开放个人信息保护选项,允许用户自由选择,韩国用户却受到歧视,因此备受批评。韩国个人信息保护委员会要求两家公司在收集和使用旗下用户利用其他公司平台的行为信息时,务必通过一目了然的方式告知用户,使用户可以轻松享受自由决定权,征得用户同意。
加强个人信息保护
数字经济的核心是通过大数据、云计算、人工智能等技术,实现数据驱动下数字化、网络化、智能化发展。而数据价值释放与数据安全风险之间的矛盾将深刻影响一国未来数字经济的走向。个人信息作为最有价值的一类数据,成为各国抢占新一轮经济竞争制高点的重要抓手。韩国修订的“数据三法”(包含《个人信息保护法》《信用信息法》《信息通信网法》)在保护个人信息的同时,也为企业敞开了合法使用个人信息的大门。不过,门户网站企业虽然可以自由使用个人信息,但必须尊重用户个人的自主选择权,并彻底保护好个人信息,保持透明的姿态。
韩国个人信息保护委员会认为,当前法律规定个人信息向境外转移前,需经过信息主体的同意,引发了企业合规负担。但同时,只要获得信息主体的同意,就可以不受限制地转移个人信息,甚至将个人信息转移至保护水平薄弱的地区,这将引发个人信息泄露等安全风险。
随着数据量的激增、云技术的普遍应用,个人信息泄露及侵权现象也呈“指数”式增长。韩国个人信息保护委员会认为,个人信息保护仅靠政府主导进行规制的作用有限,需要推动行业机构开展个人信息保护自律工作,鼓励企业通过行业组织凝聚规则共识,探索建立各行业个人信息保护规范。比如,自律性团队可以开展个人信息保护的宣传和教育活动、培养个人信息保护专业人才、制定自律规章等工作。