Meta因將數據轉移到美國服務器，被歐盟處以 13 億美元罰款

1、歐盟因將數據轉移到美國服務器而對 Meta 處以 13 億美元罰款

愛爾蘭數據保護委員會 (DPC) 在聲稱Meta違反 GDPR（通用數據保護條例）第 46(1) 條后，宣布對 Facebook 處以 13 億美元的罰款。

更具體地說，發現 Facebook 將該平臺的歐盟用戶的數據轉移到了美國，美國的數據保護法規因州而異，并且被認為不足以保護歐盟數據主體的權利。

GDPR 第 46(1) 條禁止將個人數據傳輸到缺乏保證安全和法律補救機制的保障措施的國家或國際組織。

由于侵權行為，DPC 對 Facebook 的母公司 Meta Ireland 處以創紀錄的 12 億歐元（13 億美元）罰款，并要求在做出決定后五個月內暫停所有違反 GDPR 的數據傳輸。

此外，Meta 將被要求在DPA 宣布后的六個月內停止處理或持有從歐盟非法傳輸到美國的任何數據。

Facebook 此前一直根據 GDPR 的 2016 年歐盟-美國隱私保護協議在歐洲國家和美國之間傳輸數據，該保護協議允許在隱私保護清單上的美國公司存儲歐盟數據。
GDPR 下國際數據傳輸的變化在 2020 年 7 月的 “Schrems II”案中發生了變化，在該案中，CJEU 判定隱私盾裁決中的任何個人數據傳輸都是非法的，需要引入更嚴格的數據控制法規。
2020 年 8 月，愛爾蘭 DPC 發起了對 Meta 數據傳輸活動的調查。2022 年 7 月，它發布了一份決定草案，強調這家科技巨頭違反了 GDPR 第 46(1) 條。
2023 年 4 月 13 日，歐洲數據保護委員會 (EDPB) 通過了一項具有約束力的決定，指示 DPA 對 Meta 處以罰款并命令其遵守 GDPR。

今天，愛爾蘭 DPC 處以 13 億美元的行政罰款以反映 EDPB 的決定，并根據EDPB 的指導方針對 Meta 處以罰款（最高適用金額的 20% 至 100%），考慮到侵權的嚴重性。

Meta回應了這一決定，稱無縫跨境數據傳輸對業務連續性至關重要，并認為行政罰款和限制令將對其在歐洲的服務產生嚴重影響。

該公司表示，所有跨大西洋數據傳輸均受所有組織使用的標準合同條款 (SCC) 控制，歐洲法院此前接受這些條款作為確定“法律保障”的有效替代方案。

與數以千計的其他企業一樣，Meta 使用 SCC，認為它們符合通用數據保護條例 (GDPR)。該公司認為罰款不公平、不必要且不相稱，并計劃對該裁決提出上訴，并對罰款和相關命令的嚴重程度提出異議。

這與一家公司的隱私做法無關——美國政府關于數據訪問的規則與歐洲隱私權之間存在根本的法律沖突，政策制定者預計將在夏季解決這一問題。

Meta 批評 EDPB 決定無視 DPC 承認該公司之前善意行事的決定，并強調這些程序的時機不佳，考慮到即將實施的數據隱私框架 (DPF) 即將實施，解決了當前的法律沖突。

2、谷歌推出針對 Android 應用程序的漏洞賞金計劃

谷歌通過啟動移動漏洞獎勵計劃 (Mobile VRP) 增強了其第一方 Android 應用程序的安全性。

這家科技巨頭在發布新計劃數小時后，于周一在 Twitter 上宣布了這一消息。Mobile VRP 旨在鼓勵研究人員和安全專家識別和報告 Google 開發或維護的 Android 應用程序中的漏洞。

該計劃承認分為兩大類的漏洞：任意代碼執行 (ACE) 和敏感數據盜竊。

Mobile VRP 根據應用程序與用戶數據或 Google 服務的關聯將應用程序分為三層。每層都有相應的獎勵金額，具體取決于漏洞類型和利用場景。

在第 1 層中，最高獎勵范圍從涉及竊取敏感數據的 MiTM（中間人）場景的 750 美元到遠程/無用戶交互 ACE 漏洞的 30,000 美元。

“專家組可以酌情申請 1,000 美元的獎金——例如，對于特別令人驚訝的漏洞或特別的報道。”

谷歌澄清說，只有新列表中的開發者發布的應用程序或第 1 層列表中的應用程序才有資格獲得獎勵。然而，該公司承認，如果其他缺陷顯示出對安全的影響，它們可能仍有資格獲得獎勵。

谷歌表示，通過為貢獻提供獎勵，希望維持用戶信任并保護敏感數據。

“移動 VRP 表彰幫助谷歌改善我們第一方 Android 應用程序安全狀況的研究人員的貢獻和辛勤工作，”帖子中寫道。

“該計劃的目標是減輕第一方 Android 應用程序中的漏洞，從而確保用戶及其數據的安全。”

3、“五角大樓爆炸”照片在推特上瘋傳導致股市崩盤

5 月 22 日，一張“五角大樓爆炸”的假照片已在 Twitter上流傳，美國方面辟謠稱其為錯誤信息。

在被指控傳播虛假信息的“經過驗證”的 Twitter 帳戶中，有媒體和一個虛假的彭博新聞社帳戶，這些帳戶帶有藍色的驗證復選標記以增加用戶的信心。

美國當局在一份聲明中說：“五角大樓及其附近沒有發生爆炸或事故，對公眾沒有直接的危險或威脅。”

阿靈頓消防和緊急服務中心也否認了這張照片，并通知訂閱者五角大樓已經知道這一虛假聲明。

此外，開源情報專家對圖像進行了分析，指出了不一致之處，很容易證明圖像確實是由人工智能生成的。

Bellingcat 研究員尼克·沃特斯 (Nick Waters) 表示，“要對此類事件進行合理的偽造是非常困難的，甚至幾乎是不可能的”。他說，明顯的偽造跡象包括“建筑物的外墻以及圍欄與人群屏障融為一體的方式”。

這么大的新聞，網上沒有其他目擊者的照片或視頻證據，也很可疑。據專家稱，人口稠密地區的大多數極端事件（爆炸、恐怖襲擊、大規模戰斗）都有可識別的數字足跡。

一個更大的問題在于 Twitter 帳戶驗證系統。起初，藍色支票是在公司能夠證明組織或個人的合法性后才簽發的。現在，任何愿意每月支付低至 8 美元的個人資料都可以免費使用藍色驗證復選標記。

該平臺已經暫停了一個發布虛假彭博新聞報道的賬戶，但目前尚不清楚這張生成的五角大樓圖片來自何處。盡管五角大樓爆炸的消息在推特上傳播的時間很短，但這段時間足以讓紐約證券交易所大幅下跌。

4、惠普修復了導致打印機在全球范圍內出現故障的更新錯誤

惠普 (HP) 確認在 HP OfficeJet Pro 9020e MFP 上安裝新固件版本后出現設備故障問題。

該公司發布了一個不正確的更新，現在正在準備一個更正的固件版本來修復世界各地的 MFP，這些 MFP 在藍色背景的小顯示器上顯示錯誤代碼 83C0000B（固件問題）（類似于 Windows 中的 BSOD 藍屏死機）。

惠普解釋說，該 BSOD 錯誤影響了有限數量的用戶，并且已從制造商網站和自動更新系統中刪除了有問題的固件。HP 已建議 OfficeJet MFP 的所有者斷開設備與 Internet 的連接，以便他們在新固件發布之前不會嘗試下載更新。

“我們的團隊正在積極努力解決影響少量 HP OfficeJet Pro 9020e MFP 的藍屏錯誤。我們鼓勵遇到此錯誤的客戶聯系我們的支持團隊，”惠普表示。

受該錯誤影響的 MFP 型號包括 HP OfficeJet 902x，包括 HP OfficeJet Pro 9022e、HP OfficeJet Pro 9025e、HP OfficeJet Pro 9020e 一體機和 HP OfficeJet Pro 9025e 一體機。

有趣的是，早期的 HP 支持試圖提供將 MFP 重置為出廠設置的解決方案，但在 BSOD 模式下，設備屏幕上的必要按鈕不起作用。

美國、英國、德國、荷蘭、澳大利亞、波蘭、新西蘭和法國的用戶在使用 MFP 時遇到了問題。據客戶反映，惠普目前沒有解決方案。隱藏的服務菜單不出現，打印機不啟動。只有藍屏。

5 月中旬，在使用 Smart Update Manager 實用程序安裝新的官方固件后，HP OfficeJet Pro 9020e 和 9022e MFP 停止為全球用戶提供服務。設備的小顯示屏顯示錯誤代碼 83C0000B。斷開主電源、重新啟動或嘗試通過重置參數來恢復 MFP 的操作均無效。

惠普（HP）技術支持告知受影響的用戶，藍屏死機模式下的多功能一體機只能在服務中心進行維修。同時，ASC 中也沒有關于在更新失敗后如何修復 MFP 的信息。到目前為止，SC 可以提供的唯一解決方案是新設備的保修更換。

惠普要求出現錯誤 83C0000B 且保修已過期的 MFP 用戶等待，直到他們查明事件的所有細節。他們不會免費更換設備，雖然公司的固件是問題的原因，但也許他們能夠在 SC 中刷新 MFP。目前，來自不同國家的用戶不斷報告他們的 MFP 在閃爍后停止工作。

5、谷歌正在改變 cookie 的游戲規則

谷歌宣布計劃在 2024 年初為 1% 的 Chrome 用戶禁用第三方 cookie。

谷歌正準備對其 Chrome 瀏覽器進行重大更新，這將影響cookie。一項名為 Privacy Sandbox 的新技術將逐步取代第三方 cookie，提供一種更私密的方式來處理用戶數據。

根據 TechCrunch公布的信息，谷歌計劃將 1% 的用戶移至 Privacy Sandbox，并為他們禁用第三方 cookie。此步驟將于 2024 年初實施，計劃于 2024 年下半年全面淘汰 cookie。

隨著 7 月 Chrome 115 的發布，Privacy Sandbox Relevance APIs 將面向公眾開放，讓開發者更容易用真實流量測試 APIs。

Privacy Sandbox 私人廣告技術負責人 Victor Wong 表示，為 1% 的 Chrome 用戶減少第三方 cookie 將有助于開發人員衡量他們是否準備好進行更重大的更改。

從 2023 年第四季度開始，開發人員還可以模擬第三方 cookie 棄用的準備情況，屆時他們可以通過將一定比例的用戶轉移到隱私沙盒來測試他們的解決方案

隱私沙盒實施計劃是與英國競爭和市場管理局 (CMA) 聯合制定的，需要與競爭主管部門進一步合作，以將該技術的使用范圍擴大到更廣泛的受眾。

值得注意的是，谷歌最初計劃最早在 2022 年逐步淘汰跟蹤 cookie。然而，該公司數次推遲了該計劃的實施。

Victor Wong 強調，這一舉措在互聯網歷史上具有重要意義，谷歌正以負責任的態度對待它，考慮到生態系統中所有參與者的意見，包括開發商、監管機構、政治家和廣告商。公司認識到需要額外的時間，以便所有利益相關者可以測試和適應新的變化。