近期，数据隐私领域的目光聚焦于爱尔兰。2024年9月和10月，爱尔兰数据保护委员会（DPC）对Meta Platforms Limited（MPIL）和LinkedIn Ireland Unlimited Company（LinkedIn）开出了两张重磅罚单，罚款总额高达数亿欧元。

MPIL的案件要追溯到2019年，当时MPIL承认用户密码以明文形式存储在内部系统上，未进行加密。调查重点在于MPIL是否遵守了《通用数据保护条例》（GDPR），并采取了适当的安全措施来保护这些密码数据。

DPC认为，MPIL违反了多项GDPR规定：未向DPC通报违规行为（第33条第1款），未对违规行为进行记录（第33条第5款），以及在密码保护上缺乏足够的安全措施（第5条第1款(f)和第32条第1款）。

鉴于密码数据的敏感性，副专员强调了加密的重要性，并指出明文存储数据存在被滥用的高风险，强调了必须采取适当的技术和组织措施来保障安全。最终，MPIL被处以9100万欧元的罚款，并受到正式谴责。

LinkedIn的调查则关注其处理会员数据以进行行为分析和定向广告的做法。调查发现，LinkedIn未能满足多项GDPR要求（包括第6条第1款等），因为其从第三方处获取行为分析和定向广告的同意时没有做到充分告知、明确具体且无歧义。同时，LinkedIn不能以合法利益为由为上述目的处理个人数据，因为数据主体的利益和基本权利及自由优先于其利益。此外，LinkedIn在处理会员数据时缺乏合同必要性。

LinkedIn还被指在向会员提供数据处理合法依据的信息上存在不足（第13条第1款(c)和第14条第1款(c)），违反了公平原则（第5条第1款(a)）。副专员强调，处理个人数据必须有合法依据，这是数据保护法的核心；缺乏这一依据的处理是严重侵犯个人基本数据保护权利的行为。

因此，LinkedIn被处以3.1亿欧元的罚款，并受到正式谴责。

这些裁决进一步强调了根据GDPR合法数据处理的重要性，以及组织必须维护的高标准以保护用户数据和权利。这一信息对于依赖收集和处理会员数据的社交媒体平台尤为重要。

作者：Frida Holmér (née Siverall) ，律师，罗思国际

中文校对：林华秋，顾问，路盛律师事务所