当地时间4月14日，爱尔兰数据保护委员会（DPC）正式宣布，将就5.33亿Facebook用户数据遭泄露一事展开调查。爱尔兰DPC认为，Facebook可能违反了欧盟《通用数据保护条例》（GDPR）中的一项或多项规定。

据南都此前报道，当地时间4月3日，一名黑客论坛用户免费发布了5.33亿Facebook用户的个人信息，涉及106个国家。泄露的信息包括：电话号码、ID、姓名、位置、出生日期、关系状态、个人简历以及部分电子邮件地址等。

对此，Facebook回应称，上述数据来自2019年的一次数据泄露事件，当时便已将漏洞修复。不过，Facebook发言人日前表示，考虑到用户无法自行修补漏洞，且这些用户的数据已经被公布于网络，因此决定不再专门通知。

值得注意的是，欧盟委员会委员迪迪尔·雷因德斯的个人数据也在此次事件中遭到泄露。他周一在推特发文称自己已经与爱尔兰DPC的官员讨论过该事件，并强调“委员会继续密切关注此案，并致力于支持国家当局。”

两天后，爱尔兰DPC即发表了前述的调查声明。声明称，“我们已与Facebook就此次用户数据泄露事件进行了沟通，就其是否遵守GDPR提出质疑，Facebook也对此做出了回应。”

此外，声明指出，就Facebook迄今为止提供的信息而言，Facebook可能违反了一项或多项法律规定，并可能仍在继续违反某些规定。

针对爱尔兰DPC的声明，Facebook称正在与其进行“充分合作”，并表示其中涉及到一些功能是为了帮助人们查找和联系朋友。Facebook还提到，这些功能是许多应用程序所共有的，“我们期待（向爱尔兰DPC）解释这些功能以及我们所采取的保护措施。”

目前，爱尔兰DPC认为需要确定Facebook作为数据控制者，是否在实现搜索和Messenger、Instagram的联系人导入功能时履行了保护用户数据的义务，以及是否违反了GDPR或《2018数据保护法》的相关规定。

不过，爱尔兰DPC一直因对大型科技公司的调查过于缓慢饱受批评。尽管GDPR已经生效近三年，爱尔兰DPC仅在去年12月依据GDPR对Twitter处以45万欧元（约合人民币352万元）的罚款。

南都个人信息保护课题组注意到，根据GDPR，Facebook最高可面临2000万欧元（约合人民币1.56亿元）或年度营收4%的罚款，以金额较大者为准。

文/南都个人信息保护课题组  李梦涵

编辑：尤一炜