Ötmilliárdot fizet ki adatbotrányaiért a Facebook

Rekordbírságot rótt ki a Facebookra az az Egyesült Államok Szövetségi Kereskedelmi Bizottsága (Federal Trade Commission - FTC): a közösségi óriásnak nem kevesebb mint ötmilliárd dolláros büntetést kell kicsengetnie az elmúlt évek botrányos adatkezeléséért. Ez a legnagyobb összeg, amelyet a szabályozó valaha tech-cégre kirótt.

Noha a bírság egész biztosan fájdalmas a vállalat számára, ahhoz több szakértő és amerikai szenátor szerint nem párosulnak elég szigorú szankciók, így például adatgyűjtési gyakorlatán sem kell radikálisan változtatnia a cégnek, az elvárt módosítások elsősorban a felhasználók megfelelő tájékoztatására és a belső ellenőrzésre vonatkoznak. A bizottság továbbá Mark Zuckerberget, vagy a cég más magas beosztású alkalmazottait sem vonta személyesen felelősségre az irdatlan büntetést maguk után vonó események miatt.

A Cambridge Analytica farvizén

Az FTC az ítéltben kimondta, hogy a vállalat saját üzleti érdekeit tartotta szem előtt a felhasználók adatvédelmével szemben, ráadásul a bizottsággal kötött korábbi megállapodásokat is felrúgta. A büntetés oroszlánrészét nem meglepő módon a vállalat erősen kifogásolható adatkezelési gyakorlatáért kapta, amely a tavalyi év talán legnagyobb adatbiztonsági fiaskója, a Cambridge Analytica botrány hátterében is állt. Biztosan sokan emlékeznek még, hogy a tavaly márciusban kirobbant ügy a Facebook rendkívül hanyag adatkezelésében gyökerezett, miután a cég hozzáférést engedett külső alkalmazásfejlesztőknek a felhasználók ismerőseinek adataihoz, anélkül, hogy ehhez az adott felhasználó hozzájárulását adta volna. Ennek eredményeként a Cambridge Analytica adatlabor több tízmillió Facebook felhasználó személyes adatait használhatta engedély nélkül, egyebek mellett a 2016-os amerikai választások során Donald Trump kamányához is.

A Cambridge Analytica botrány kapcsán a vállalat egyébként egy plusz bírságra is számíthat a Egyesült Államok Értékpapír- és Tőzsdebizottságától (US Securities and Exchange Commission - SEC), amiért a felhasználói adatgyűjtés kapcsán a cég nem csak magukat a felhasználókat, de a befektetőket is félrevezette - igaz itt a büntetés összege "csak" 100 millió dollár. A botrány a kirobbanást követő hetekben-hónapokban csak tovább dagadt, az első értesülések kapcsán indított nyomozások fényt derítettek egy sor további problémára is, mint kiderült egyebek mellett a felhasználók telefonos híváslistáit is begyűjtötte, noha az korántsem egyértelmű, hogy ebbe minden érintett belegyezett-e.

Mindezek mellett a bizottság szerint a Facebook az FTC egy korábbi rendelkezését megsértve nem tette elérhetővé minden felhasználó számára az app beállításai között, hogy lekapcsolják az arcfelismerés funkciót, azaz hogy a cég olyan funkciókhoz, mint a felhasználók megjelölése a feltöltött fényképeken, arcukról információkat gyűjtsön. Az utóbbi funkció lekapcsolására vonatkozó beállítási lehetőséget egyébként a közösségi óriás már 2017-ben bejelentette, az azonban még idén sem vált elérhetővé minden felhasználónál.

A büntetés kiszabásakor a vállalat egymást érő biztonsági botrányai közül annak erősen vitatható hirdetési gyakorlata is nyomott a latban: mint azt tavaly szeptemberben biztonsági szakértők bebizonyították, a Facebook a felhasználók telefonkönyve alapján, számára korábban elméletileg ismeretlen telefonszámokat is képes volt konkrét felhasználókhoz, és ezáltal a hirdetőkhöz kötni reklámcélzások érdekében. Ezek után szinte már csak hab volt a tortán a cég idén márciusban napvilágot látott baklövése, melynek során belső használatra szánt adatbázisában egyszerű szövegként tárolta több százmillió felhasználójának jelszavait, amelyek között a cég több ezer alkalmazottja kereshetett szabadon.

Ötmilliárdos bírság, sok új ellenőr - de hol vannak a felelősök?

A fentiekért tehát a Facebook 5 milliárd dollárt csengethet ki, továbbá új felügyeleti struktúrát is ki kell alakítania a megfelelő felhasználói adatvédelemhez valamennyi szolgáltatásán - ez a Facebook mellett tehát az Instagramot és a WhatsAppot is érinti. Ez egy független adatvédelmi bizottság létrehozását jelenti a cég igazgatótanácsából, amellyel az FTC elvenné a terület kvázi teljes kontrollját Mark Zuckerberg vezérigazgató kezéből. A bizottság feladata lesz többek között egy sor compliance vezető kinevezése is, akik a vállalat adatvédelmi gyakorlatát lesznek hivatottak közelről szemmel tartani, illetve negyedévente adatvédelmi tanúsítványokat biztosítani az FTC számára, igazolva a cég szabályozásokhoz igazodó működését - a negyedéves jelentések elküldésére egyébként a bizottság magát Zuckerberget is kötelezi. Az FTC mellett ráadásul a következő húsz évben további külső felek is rendszeresen ellenőrzik majd a Facebook adatgyűjtését. A bizottság a felsoroltakon túl még egy sor elvárást támaszt a Facebookkal szemben, a külső felektől származó appok szigorúbb ellenőrzésétől új adatbiztonsági program létrehozásáig.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Noha az ötmilliárdos gigabírságot még egy Facebook méretű óriás sem intézi el egy vállrándítással, több szakértő arról beszél, még így is a közösségi óriás tekinthető az ügy nyertesének, miután személyes felelősségre vonás egyáltalán nem történt, annak ellenére hogy a vizsgálat minden idők egyik legsúlyosabb adatvédelmi botrányával kapcsolatban indult. Az Ars Technica által idézett Josh Hawley szenátor egyenesen arról beszélt, az FTC döntése lényegében semmit nem tesz a Facebook adatgyűjtése és az adatokkal való visszaélés megakadályozása, illetve vezetőinek felelősségre vonása érdekében.

A Reutersnek megszólaló Richard Blumenthal szenátor szerint a büntetésből az látszik, hogy az FTC nem tanult a korábbi megegyezések leckéjéből - amelyek felrúgása jelen ügyben is előkerült - ha pénzbírsággal próbálja a céget jobb belátásra téríteni. A szenátor úgy fogalmazott, a Facebook már egyszeri költségként le is írta a büntetést, cserébe az évtizedes illetéktelen adatfelhasználásból származó, tekintélyes nyereségekért.

A Facebook persze máshogy látja a megállapodást, ahogy annak kapcsán kiadott közleményében a vállalat fogalmaz, a döntés alapvetően változtatja majd meg a cég munkáját, és minden szinten több felelősséget ró majd a vállalat dolgozóira - amely az Egyesült Államok hatályos törvényeinek elvárásait is felülmúlja. Noha a vállalat posztjában hosszasan beszél a nagyobb felelősségvállalásról, az ügy kapcsán vezetőinek személyes felelősségére már nem tér ki.