近年来对数据泄露的重大罚款表明，监管机构越来越重视打击那些未能妥善保护消费者数据的公司。

因非法将个人数据从欧盟转移到美国，Meta 被罚款13亿美元，高居近期大额制裁的榜首，而另一家中国公司滴滴出行因违反该国数据保护法而被处以十位数的罚款。第三大罚款是亚马逊在2021年因违反欧洲的通用数据保护条例(GDPR)而被罚款8.77亿美元。

以下是因数据泄露或不遵守安全与隐私法律而被评估的最大罚款和处罚。

1. Meta (Facebook)：13亿美元

2023年5月，爱尔兰数据保护委员会(DPC)结束了对Meta平台爱尔兰有限公司(“Meta Ireland”)的一项调查，该调查始于2020年8月，因违反GDPR，向这家社交媒体巨头开出了12亿欧元(即13亿美元)的罚单。关于GDPR第46(1)条，爱尔兰隐私监管机构指责Meta Ireland在提供其Facebook服务时，未能在将个人数据从欧盟或欧洲经济区(EEA)转移到美国的过程中提供足够的数据隐私保护。Meta的全球事务总裁尼克·克莱格(Nick Clegg)表示：“我们打算对决定的实质内容及其命令提出上诉，包括罚款，并将通过法院寻求暂停执行期限。”

2. 滴滴出行：11.9亿美元

中国网约车公司滴滴出行被中国网络空间管理局罚款80.26亿元人民币(约合11.9亿美元)，理由是该公司违反了国家的网络安全法、数据安全法和个人信息保护法。滴滴出行在一份声明中表示，接受网络安全监管机构的决定，此决定是在对该公司长达一年的安全实践和“涉嫌非法活动”调查后作出的。

3. 亚马逊：8.77亿美元

2021年夏季，零售巨头亚马逊的财务记录显示，卢森堡官员对其开出了7.46亿欧元(当时约合8.77亿美元)的罚款，原因是违反了GDPR。亚马逊预计会对这一罚款提出上诉，一位发言人表示：“没有发生数据泄露，也没有客户数据暴露给任何第三方。”提起最初数据保护投诉的法国数字权利组织La Quadrature du Net代表了10165名个人投诉人于2018年5月提出指控，称这并不令人意外，因为其长达19页的投诉针对的是亚马逊在未获得充分同意的情况下运营行为广告系统，而非偶发的个人数据泄露。

4. Equifax：至少5.75亿美元

2017年，由于其数据库中一个未修补的Apache Struts框架， Equifax丢失了近1.5亿人的个人和财务信息。公司在发布补丁数月后未能修复一个关键漏洞，然后在发现漏洞数周后未能向公众通报。

2019年7月，这家信用评估机构同意支付5.75亿美元——可能上升至7亿美元——与联邦贸易委员会(FTC)、消费者金融保护局(CFPB)以及所有50个美国州和地区就公司“未采取合理步骤保护其网络”达成和解。

其中3亿美元将用于一个基金，为受影响的消费者提供信用监控服务(如果初始支付不足以赔偿消费者，将增加1.25亿美元)，1.75亿美元将支付给48个州、哥伦比亚特区和波多黎各，以及1亿美元将支付给消费者金融保护局(CFPB)。此外，和解还要求该公司每两年获得一次第三方对其信息安全程序的评估。

联邦贸易委员会(FTC)主席乔·西蒙斯(Joe Simons)表示：“从个人信息中获利的公司有额外的责任来保护和确保这些数据的安全。”“Equifax未采取可能防止影响约1.47亿消费者的数据泄露的基本措施。”

Equifax因2017年的数据泄露在英国已被罚款50万英镑(约合62.5万美元)，这是GDPR实施前数据保护法1998所允许的最高罚款。

2020年，Equifax因该数据泄露事件支付了进一步的和解款项：775万美元(加上200万美元的法律费用)支付给美国的金融机构，以及分别向马萨诸塞州和印第安纳州支付1820万美元和1950万美元。

5. Meta(Facebook, Instagram)：4.13亿美元

在GDPR开始实施的当天(2018年5月25日)，爱尔兰数据保护委员会(DPC)对Meta在欧洲地区的数据处理操作进行了两次调查，2023年1月宣布发现Meta平台在提供其Facebook和Instagram服务时违反了GDPR。Meta Ireland因Facebook违规被罚款2.1亿欧元(2.25亿美元)，因Instagram违规被罚款1.8亿欧元(1.93亿美元)。

Meta在处理Facebook和Instagram服务的数据时被发现违反了多条GDPR规定，包括第5条(1)款a)、第6条(1)款、第12条以及第13条(1)款c)，这些违规涉及透明度和信息义务的破坏。

6. Instagram：4.03亿美元

2022年9月，爱尔兰数据保护委员会(DPC)因Instagram违反GDPR规定下的儿童隐私条款而对其处以罚款。这一长期投诉涉及未成年人的数据，特别是电话号码和电子邮件地址，这些数据在一些年轻用户将其个人资料升级为商业账户以访问分析工具(如访客概览)时被更公开地展示。

Instagram的所有者Meta表示计划对该决定提出上诉。“这次调查关注的是我们一年多前就更新过的旧设置，自那以后我们已经推出了许多新功能来帮助保护青少年的安全和隐私。”一位Meta官员告诉BBC新闻。“虽然我们在整个调查过程中与DPC充分合作，但我们不同意这次罚款的计算方式，并打算对其提出上诉。”

国家防止虐待儿童协会(NSPCC)的在线儿童安全政策负责人安迪·伯罗斯(Andy Burrows)表示：“这是一次重大违规，具有重要的安全保障意义，并可能对使用Instagram的儿童造成真正的伤害。这一裁决展示了有效的执法如何保护社交媒体上的儿童，并强调了监管已经在使儿童在线环境更安全。”

7. TikTok：3.45亿欧元(3.7亿美元)

2023年9月，爱尔兰数据保护委员会(DPC)根据GDPR法律，对TikTok处以3.45亿欧元(3.7亿美元)的罚款，原因是侵犯了儿童数据隐私。DPC发现TikTok在其隐私设置方面对儿童的透明度不足，并对其数据处理方式提出了疑问。

此调查旨在审查在2020年7月31日至2020年12月31日期间，TikTok在处理涉及其平台儿童用户的个人数据时，其在以下方面遵守GDPR义务的程度：

• TikTok平台的某些设置，包括默认公开设置以及与家庭配对功能相关的设置。
• 注册过程中的年龄验证。

“作为调查的一部分，DPC还审查了TTL的某些透明度义务，包括向儿童用户提供有关默认设置的信息的程度，”IDC表示。DPC的决定于2023年9月1日通过，记录了违反GDPR第5条(1)款(c)、(f)、第24条(1)款、第25条(1)款、(2)款、第12条(1)款、第13条(1)款(e)及第5条(1)款(a)的发现，涉及数据安全、数据保护设计和数据处理等一系列问题。

一位社交媒体公司的发言人对媒体表示，“我们对这一决定表示尊重地不同意，特别是对所施加罚款的数额。”

8. T-Mobile：3.5亿美元

2022年7月，移动通信巨头T-Mobile宣布了一项合并的集体诉讼和解条款，此前在2021年初发生的数据泄露影响了估计7700万人。该事件中心在于“未经授权的访问”T-Mobile的系统，此后部分客户数据在一个已知的网络犯罪论坛上被挂出出售。根据一份证券交易委员会(SEC)的文件，披露了T-Mobile将支付总计3.5亿美元，以资助提交的诉讼成员的索赔、原告律师的法律费用以及管理和解的费用。该公司还承诺在2022年和2023年为数据安全及相关技术额外投入1.5亿美元。

“公司预期，一旦法院批准，和解将全面解决因网络攻击而产生的所有索赔，适用于未选择退出的集体诉讼成员针对所有被告的索赔，包括公司、其子公司和关联公司以及其董事和高级职员，”文件中写道。“该和解不包含任何被告的责任、不当行为或责任的承认。集体诉讼成员包括所有在数据泄露中个人信息受到泄露的个人，受协议中规定的某些例外情况的限制。公司认为，拟议和解的条款与处理类似类型索赔的其他和解一致，”文件补充道。

9. Meta (Facebook)：2.77亿美元

2022年11月，爱尔兰数据保护委员会(DPC)因5亿用户的个人信息泄露，对Meta处以2.77亿美元(2.65亿欧元)的罚款。DPC于2021年4月14日启动了这项调查，此前有报道称一组Facebook个人数据被整理后在互联网上公开。此次调查的范围包括对Facebook搜索、Facebook Messenger联系人导入工具和Instagram联系人导入工具在Meta Platforms Ireland Limited(“MPIL”)在2018年5月25日至2019年9月期间的数据处理进行审查和评估。“这次调查的主要问题涉及遵守数据保护设计和默认的GDPR义务的合规性问题，”DPC写道。“DPC检查了根据GDPR第25条(涉及这一概念)实施的技术和组织措施。此次全面调查过程包括与欧盟内所有其他数据保护监管机构的合作。这些监管机构都同意了DPC的决定。”

该决定施加了谴责，并下达了一项命令，要求MPIL通过在特定时间范围内采取一系列指定的补救措施，使其处理活动符合合规要求。

10. WhatsApp：2.55亿美元

2021年8月，Facebook旗下的消息服务WhatsApp因在爱尔兰涉及一系列GDPR跨境数据保护违规行为被罚款2.25亿欧元(2.55亿美元)。这次罚款是在一项始于2018年的漫长调查和执行过程之后作出的，期间爱尔兰数据保护委员会提出的决定和制裁被其欧洲数据保护监管机构同行驳回，最终提交给欧洲数据保护委员会并作出裁决。指控焦点是针对WhatsApp服务的用户和非用户的投诉，涉及违反GDPR第12、13和14条关于透明度和数据主体信息义务的指控。

11. Home Depot：约2亿美元

2014年，Home Depot卷入了迄今为止涉及销售点(POS)系统的最大数据泄露事件之一，导致支付了多笔罚款和和解款。第三方的盗用凭证使攻击者能够进入Home Depot的网络，提升权限，并最终侵入POS系统。在2014年4月至9月的五个月时间内，有超过5000万张信用卡号和5300万个电子邮件地址被盗。

据报道，由于这次数据泄露，Home Depot至少向信用卡公司和银行支付了1.345亿美元。此外，2016年Home Depot同意向受泄露影响的客户支付1950万美元，其中包括为泄露受害者提供信用监控服务的费用。2017年，该公司同意向受泄露影响的金融机构支付额外的2500万美元，受害者可以索赔，用以覆盖银行的损失。

数据泄露可能带来长期的成本，尤其是在罚款和和解方面。2020年11月，这家零售商向46个美国州和华盛顿特区支付了进一步的1750万美元和解款。该协议还要求Home Depot雇佣一名高资质的首席信息安全官(CISO)，为关键人员提供安全培训，并确保在身份和访问、监控以及事件响应等领域实施安全控制和政策。

12. Capital One：1.9亿美元

2021年12月，Capital One同意支付1.9亿美元，以和解一起针对其2019年数据泄露事件的集体诉讼，该事件影响了1亿人。这起和解是在美国货币监理署因同一数据泄露对Capital One罚款8000万美元一年多后达成的(见下文)。

一名AWS的软件工程师发动了这次攻击，泄露了包括银行账户详情在内的信息。“虽然Capital One和AWS否认所有责任，但为了避免继续诉讼的时间、费用和不确定性，原告和Capital One已签署了一份包含集体和解的基本条款的协议单，如果得到本法院的批准，将完全解决原告提出的所有索赔，”一份提交给弗吉尼亚东区联邦地区法院的文件中写道。在一份电邮声明中，Capital One表示，自两年多前与联邦当局协调宣布此事件以来，案件的关键事实没有变化，黑客已被逮捕，被盗数据在被传播或用于欺诈目的之前已被找回。“我们很高兴已达成协议，将解决在美国的消费者集体诉讼，”公司补充道。

13. Uber：1.48亿美元

2016年，叫车应用Uber有60万司机和5700万用户账户被侵犯。公司没有报告这一事件，而是支付了10万美元给肇事者以掩盖此次黑客攻击。然而，这些行为使公司付出了沉重的代价。2018年，该公司因违反州数据泄露通知法被罚款1.48亿美元——当时是历史上最大的数据泄露罚款。

14. 摩根士丹利：1.2亿美元(总计)

2022年1月，投资银行和金融服务巨头摩根士丹利同意支付6000万美元，以解决一项与其数据安全相关的法律索赔。这项协议，如果得到曼哈顿联邦法官的批准，将解决一起于2020年7月针对该公司提起的集体诉讼，该诉讼涉及两次安全漏洞，影响了大约1500万客户的个人数据。据索赔人称，摩根士丹利未能保护现有客户和前客户的个人身份信息(PII)。据称，该公司在2016年和2019年报废的数据中心设备未被有效清除数据，且由于软件缺陷，未加密的敏感数据对购买该设备的人可见。

这项拟议的索赔和解是在摩根士丹利被货币监理署(OCC)就同一事件处以6000万美元民事罚款一年多后提出的。OCC指出，摩根士丹利未能“对2016年位于美国的两个财富管理业务数据中心的退役工作进行适当监督。包括未能有效评估或解决与硬件退役相关的风险;未能充分评估包括选择供应商和监控其表现在内的外包退役工作的风险;未能保持对退役硬件设备上存储的客户数据的适当清单。”OCC补充道，2019年，银行在退役存储客户数据的其他网络设备时，经历了类似的供应商管理控制缺陷。

摩根士丹利在最近的和解协议声明中表示：“我们之前已就这些发生在几年前的事件通知了所有可能受影响的客户，并很高兴能够解决这起相关诉讼。”

15. Google Ireland：1.02亿美元

2022年1月6日，Google Ireland 被法国数据保护机构CNIL罚款9000万欧元(1.02亿美元)。这次罚款与Google在欧洲分支机构在YouTube上实施cookie同意程序的方式有关。CNIL写道：“CNIL收到了许多关于在google.fr和youtube.com网站上拒绝cookie的方式的投诉。” “2021年6月，CNIL对这些网站进行了在线调查，发现虽然这些网站提供了一个按钮可以立即接受cookie，但没有实施等效的解决方案(按钮或其他方式)使用户同样容易地拒绝cookie。拒绝所有cookie需要多次点击，而接受它们只需一次点击。”限制性委员会认为这一过程影响了互联网用户的同意自由，并构成了对法国数据保护法第82条的侵犯。