而对于Facebook出现的“近5000万用户的账户可能遭遇入侵甚至盗用”问题，是否可以适用欧盟《一般数据保护条例》，首要判定条件是，平台内的用户账户遭遇入侵甚至盗用是否满足《一般数据保护条例》关于个人数据泄露的界定或定义。

按照《一般数据保护条例》规定，“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。

简单说，构成《一般数据保护条例》意义上的“个人数据泄露”需要满足三个条件：其一，平台有违反安全政策的行为；其二，有出现个人数据“损毁、丢失、更改或未经同意而被公开或访问”的不当后果；其三，出现这种不当后果具有意外性或非法性。

因此，如果Facebook能证明其平台上出现的“近5000万用户的账户可能遭遇入侵甚至盗用”问题，其采取了必要的安全防范措施或手段，本身并无违反安全政策的不当行为，也就没有过错，那么，这种客观上发生的“用户个人数据泄露”问题，并不能直接要求平台承担相应的责任。

其他义务：报告不及时需承担相应责任

按照《一般数据保护条例》规定，在个人数据泄露的情形中，如果可行，平台在知悉后及时（至迟在72小时内）将个人数据泄露告知有权监管机构，除非个人数据泄露对于自然人的权利与自由不太可能带来风险。对于不能在72小时以内告知监管机构的情形，应当提供延迟告知的原因。

简单说，对于各类平台可能发生的用户个人数据泄露问题，平台均负有及时报告义务。

以Facebook遭遇的用户个人数据泄露问题为例，如果Facebook在知悉或发现用户个人数据泄露问题后72小时内，未及时向有关监管机构报告或告知，那么，Facebook也需要承担一定的管理不善责任的。

相关报道: