近日，愛爾蘭資料保護委員會 （DPC） 因2021 年 Facebook 大規模資料洩露事件，向其母公司Meta開出 2。65 億歐元（約20億人民幣）鉅額罰單。

2021年4月，駭客將5。33億Facebook使用者隱私資料洩露至駭客論壇，其中包括了手機號碼、Facebook ID、姓名、性別、位置、人物關係、職業、出生日期和電子郵件地址。DPC 於 2021 年 4 月 14 日正式啟動了對 Meta 可能違反 《通用資料保護條例》（GDPR ）相關規定的調查。

Facebook 當時表示，駭客透過利用Contact Importer工具中的一個缺陷將電話號碼與 Facebook ID 關聯，然後抓取其餘資訊來為使用者建立個人資料來收集資料。Facebook表示該漏洞已在2019年修復，駭客在此之前竊取了資料。

根據DPC 的調查結論，Meta違反了 GDPR 第 25章第1及第2條：

25。1 資料控制者應實施適當的技術和管理措施，比如將資料進行假名化，並在處理過程中納入必要的保障措施，以滿足本規定的要求並保護資料主體的權利。

25。2 資料控制者應該使用適當的技術及管理措施，來保證在預設情況下，僅使用處理目的所必要的個人資料。 特別注意這類措施應應確保在預設情況下，不應允許任何個人干預，同時只向有限數量的自然人提供個人資料。

資料抓取

資料抓取採用一種自動化機器人工具，能利用 Facebook 等儲存使用者資料平臺的開放網路 API 來提取公開資訊並建立大量使用者資料資料庫。

雖然不涉及駭客攻擊，但爬蟲收集的資料集可以與來自多個點（站點）的資料相結合，建立完整的使用者檔案，從而使駭客的攻擊目標更加精準有效。在 Meta 的案例中，駭客利用 Facebook 和 Instagram 上 Contact Importer 中的一個缺陷將電話號碼與這些公開收集的資訊相關聯，從而允許他們建立包含個人和公共資訊的配置檔案。

由於許多科技公司在愛爾蘭運營，DPC 被認為是歐盟 GDPR 合規的先鋒，因此其決定勢必會給其他掌控大量資料的企業帶來影響，迫使他們重新評估其反抓取機制。