Facebook đồng ý trả 5 tỷ đô la tiền phạt và thiết lập chương trình bảo mật mới trong 20 năm

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Án phạt 5 tỷ đô của FTC dành cho Facebook

Ủy ban Thương mại Liên bang (FTC) mới đây chính thức xác nhận thông tin Facebook đã đồng ý trả khoản tiền phạt kỷ lục trị giá 5 tỷ đô la liên quan tới các vi phạm quyền riêng tư xung quanh vụ bê bối Cambridge Analytica.

Bên cạnh hình phạt trị giá hàng tỷ đô la, Facebook cũng đã chấp nhận thực thi một bản thỏa thuận kéo dài 20 năm nhằm thực hiện một khung tổ chức mới (organizational framework) được thiết kế để tăng cường các chính sách và thực tiễn bảo mật dữ liệu.

Yêu cầu từ FTC đối với Facebook

Thỏa thuận này yêu cầu Facebook thực hiện một số thay đổi lớn về cấu trúc, trong đó yêu cầu phía công ty phải chịu trách nhiệm về các quyết định mà họ đưa ra liên quan đến quyền riêng tư và thông tin của người dùng mà Facebook đang thu thập.

Trong thông cáo báo chí được đăng tải mới đây, FTC cho biết lệnh này yêu cầu Facebook cơ cấu lại cách tiếp cận quyền riêng tư từ cấp hội đồng quản trị trở xuống và thiết lập các cơ chế mới mạnh mẽ để đảm bảo các giám đốc điều hành của Facebook chịu trách nhiệm về các quyết định mà họ đưa ra liên quan đến quyền riêng tư của người dùng. Đồng thời các quyết định đó phải chịu sự giám sát thực chất từ nhiều bên.

Theo FTC, Facebook đã liên tục tiết lộ và cài đặt lừa đảo để làm suy yếu tùy chọn quyền riêng tư của người dùng. Điều này trên thức tế đã vi phạm quy định FTC 2012 trong đó yêu cầu các phương tiện truyền thông xã hội phải có được sự đồng ý rõ ràng từ người dùng khi chia sẻ dữ liệu cá nhân của họ.

Khung tổ chức mới áp dụng cho cả WhatsApp và Instagram

Khung tổ chức mới được đề xuất sẽ không chỉ áp dụng cho Facebook, mà còn có hiệu lực với cả các dịch vụ do công ty sở hữu, bao gồm WhatsApp và Instagram.

Trong một tuyên bố mới đây, Giám đốc điều hành Facebook Mark Zuckerberg cho biết phía công ty đã đồng ý trả mức tiền phạt lịch sử, nhưng quan trọng hơn Facebook sẽ thực hiện một số thay đổi lớn về cấu trúc đối với cách thức điều hành và xây dựng sản phẩm của công ty.

Mark cũng cho biết lý do ông ủng hộ thỏa thuận này là bởi ông tin rằng chương trình bảo mật mới sẽ giúp giảm thiểu số lỗi mà Facebook mắc phải, cũng như có thể giúp công ty đưa ra các biện pháp bảo vệ quyền riêng tư mạnh mẽ hơn cho người dùng.

Chương trình bảo mật mới của Facebook

Chương trình bảo mật mới của Facebook Mark Zuckerberg

Những thay đổi lớn sẽ bao gồm:

1. Ủy ban bảo mật độc lập

Công ty sẽ được yêu cầu thành lập một Ủy ban bảo mật độc lập của Ban giám đốc Facebook bao gồm các thành viên được bổ nhiệm bởi một ủy ban đề cử độc lập.

Theo FTC, biện pháp này sẽ tạo ra trách nhiệm giải trình cao hơn ở cấp độ Ban giám đốc, đồng thời tước bỏ quyền kiểm soát của CEO Mark Zuckerberg liên quan đến quyền riêng tư của người dùng.

2. Cán bộ tuân thủ

Công ty sẽ được yêu cầu bổ nhiệm các nhân viên tuân thủ. Những người này sẽ làm việc dưới Ủy ban bảo mật độc lập mới. Công việc của họ sẽ là giám sát toàn bộ chương trình bảo mật của Facebook. Giám đốc điều hành của Facebook hoặc nhân viên của Facebook không thể kiểm soát, bổ nhiệm hoặc sa thải các nhân viên tuân thủ.

Các nhân viên tuân thủ bị yêu cầu bắt buộc phải nộp giấy chứng nhận tuân thủ hàng quý cũng như hàng năm cho FTC để đảm bảo rằng công ty đang  triển khai đúng chương trình bảo mật theo yêu cầu của bản thỏa thuận đã ký.

Nhân viên tuân thủ cũng sẽ được yêu cầu tạo báo cáo đánh giá bảo mật hàng quý. Những báo cáo này phải được chia sẻ với Giám đốc điều hành, chuyên gia đánh giá độc lập, cũng như với FTC.

FTC cũng cảnh báo rằng bất kỳ chứng nhận sai phạm nào cũng sẽ khiến các nhân viên tuân thủ phải chịu các án phạt nặng nề về dân sự và hình sự.

3. Tăng cường giám sát bên ngoài của Facebook

Thỏa thuận cũng tăng cường vai trò của các chuyên gia đánh giá độc lập thuộc bên thứ ba. Những người sẽ tiến hành đánh giá chương trình bảo mật của Facebook mỗi hai năm để xác định các lỗ hổng.

FTC yêu cầu Facebook xây dựng chương trình bảo mật mới

4. Xem xét bảo mật

Thỏa thuận cũng buộc Facebook phải tiến hành các chu trình đánh giá kỹ lưỡng về tất cả các sản phẩm hoặc dịch vụ mới mà công ty phát triển. Những đánh giá này phải được gửi hàng Quý cho Giám đốc điều hành của công ty và các chuyên gia đánh giá thuộc bên thứ ba.

5. Sự cố bảo mật tài liệu

Facebook sẽ cần ghi lại bất kỳ sự cố nào làm tổn hại tới dữ liệu của 500 người dùng trở lên, đồng thời cũng cần đưa ra các nỗ lực giải quyết đối với các sự cố đó. Facebook sẽ cần phải giao tài liệu này cho FTC và các chuyên gia đánh giá trong vòng 30 ngày kể từ ngày phát hiện ra sự cố của công ty.

6. Các quy tắc nghiêm ngặt đối với các ứng dụng của bên thứ ba

Sau một cuộc điều tra kéo dài một năm, FTC nhận thấy rằng các thực tiễn bảo mật kém của Facebook cho phép nền tảng chia sẻ thông tin cá nhân của người dùng với các ứng dụng của bên thứ ba mà không có sự đồng ý rõ ràng của họ. Đồng thời, phía công ty đã thực hiện các bước không đầy đủ để đối phó với các sự cố vi phạm quyền riêng tư của người dùng.

Để khắc phục điều này, FTC cũng đã yêu cầu Facebook giám sát chặt chẽ các ứng dụng của bên thứ ba và cách họ sử dụng dữ liệu thu thập được từ người dùng. Facebook cũng được đề nghị phải ngay lập tức chấm dứt bất kỳ tài khoản của các nhà phát triển ứng dụng không tuân thủ chính sách bảo mật của công ty hoặc không thể làm rõ nhu cầu cụ thể của họ đối với dữ liệu người dùng.

Các yêu cầu khác của FTC

Bên cạnh những thay đổi đáng kể đề cập ở trên, bản thỏa thuận cũng làm rõ một số yêu cầu nhỏ khác, bao gồm:

  • Facebook không thể sử dụng số điện thoại cho quảng cáo mà người dùng cung cấp để kích hoạt các tính năng bảo mật như xác thực hai yếu tố trên nền tảng của mình.
  • Theo các quy tắc mới, Facebook cũng sẽ được yêu cầu phải có được sự đồng ý xác nhận từ người dùng trước khi sử dụng công nghệ nhận dạng khuôn mặt cho bất kỳ tính năng mới nào.
  • Sau sự cố tháng 3 năm 2019 khi Facebook lưu trữ nhầm mật khẩu dưới dạng văn bản gốc (plaintext) tài khoản của hàng trăm triệu người dùng mạng xã hội này, cũng như mật khẩu tài khoản của hàng triệu người dùng Instagram thì FTC cũng đã yêu cầu Facebook phải mã hóa mật khẩu người dùng và thường xuyên quét để phát hiện các sự cố nếu có bất kỳ mật khẩu nào của người dùng được lưu trữ ở dạng văn bản gốc.
  • Vào tháng Tư năm nay, Facebook cũng bị bắt gặp khi yêu cầu một số người dùng mới đăng ký cung cấp cho công ty mật khẩu vào tài khoản email của họ. Vì vậy, thỏa thuận lần này cũng cấm Facebook yêu cầu mật khẩu của bất kỳ dịch vụ nào khác.

Facebook đang xây dựng chương trình mới tuân thủ các yêu cầu của FTC

Trong một bài đăng trên blog được công bố mới đây, Facebook cho biết họ đang xây dựng một chương trình bảo mật mới tuân thủ tất cả các yêu cầu của FTC. Chương trình này sẽ thay đổi cách thức Facebook xử lý dữ liệu của người dùng và hữu ích trong việc “xây dựng lại niềm tin với mọi người”.

Facebook khẳng định công ty sẽ áp dụng các phương pháp mới để ghi chép kỹ lưỡng hơn các quyết định được đưa ra, cũng như giám sát chi tiết hơn các tác động mang lại. Và công ty cũng sẽ giới thiệu nhiều biện pháp kiểm soát kỹ thuật hơn để tự động hóa các biện pháp bảo vệ quyền riêng tư tốt hơn cho người dùng.

Bên cạnh việc xử lý vụ kiện với FTC, Facebook cũng đã giải quyết một cuộc điều tra khác của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) về các cáo buộc “tiết lộ sai lệch” liên quan đến nguy cơ lạm dụng dữ liệu người dùng. Facebook cũng đã đồng ý trả mức tiền phạt trị giá 100 triệu đô la như một phần của thỏa thuận này.

THN