【大公報訊】綜合路透社、美國《連線》雜誌報道：美國科技巨頭Facebook（Fb）又出現用戶私隱外泄事件。Fb在14日坦承，在今年9月13日至25日，圖片應用程式界面（photo API）出現漏洞，使超過1500個第三方應用程式可以獲取用戶未授權分享的照片，預計有680萬用戶受到影響，該漏洞在9月25日已被修復。目前，歐盟的私隱監管機構愛爾蘭數據保護委員會（DPC）已展開調查。

　　Fb工程主管巴爾（Tomer Bar）在博客「Fb開發人員」上發文寫道，若用戶曾授權第三方應用程式訪問Fb圖片，在9月13日至9月25日期間，這些第三方軟件可以通過漏洞，獲取用戶在Fb Stories、Marketplace上發布的圖片，以及用戶已上傳卻出於各種原因未能發布的圖片，例如由於網絡問題未能發布，或是改變心意終止發布，只要上傳了圖片就可能被第三方應用程式獲得。

　　Fb預計，有680萬用戶和超過1500個第三方程式受到影響。巴爾表示，Fb會在下周給第三方程式的開發商提供工具，助其確定是否存取了用戶未經授權的照片。Fb會與其協作，確保這些照片被刪除。同時，Fb將給那些可能受影響的用戶發送警告，提醒他們進入幫助中心檢測自己是否私隱外泄。巴爾推薦任何允許第三方應用程式獲取照片的用戶都檢查一下。

　　未在72小時內上報 Fb涉違規

　　據報道，Fb在9月25日發現了並修補了這個漏洞，但直到11月22日才告知愛爾蘭數據保護委員會，直到12月14日才告知用戶。而歐盟在今年5月通過的《通用數據保障條例》（GDPR）中規定，若發生用戶私隱泄露事件，企業必須在72小時內報告有關部門，Fb卻在近兩個月後才報告，此舉顯然違規。

　　不過Fb聲稱，它需要時間調查這起事件是否違反了條例，最後在下定結論後的72小時內報告給數據保護委員會，至於延遲告知用戶，是因為需要先與眾多程式開發商溝通，並想出解決措施。

　　事實上，《通用數據保障條例》所規定的72小時，也並不是那麼死板。假如違規行為「不太可能對用戶權利和自由造成影響」，企業就可以獲得更長時間。專攻私隱法的律師表示，若黑客盜取了用戶銀行帳號或未加密的密碼，那肯定需要立即報告，但通過圖片應用程式界面漏洞導致的圖片外泄，就處於比較模糊的領域。

　　醜聞不斷 或難恢復聲譽

　　顯然，Fb很清楚怎樣利用這項規定。9月28日，Fb就公開承認在9月25日遭到黑客攻擊，5000萬用戶（這一數字在調查後下降至2800萬）被迫登出，郵箱、電話等基本資料外泄。雖然遭遇黑客攻擊和發現漏洞是同一天，但Fb顯然優先處理前一個更為重要的問題。

　　不過最終違規與否，還是需要愛爾蘭數據保護委員會定奪。該委員會傳訊部門負責人多伊爾（Graham Doyle）14日表示，自五月來已收到好幾次Fb違反條例的報告，將「從本周起進行法定調查」。Fb一旦被裁定違法，可能面臨最高可達企業全球年營收的4%的天價罰款。若以Fb在2017年352億歐元收入計算，該公司最高被罰14億歐元（約123.7億港元）。

　　有分析人士認為，Fb從今年3月的「數據門」醜聞以來，名譽一路狂跌，若還故意利用法律漏洞延期上報，可能破壞Fb向用戶及監管單位確保加強保護用戶私隱的可信度。