Một cơ quan bảo mật của Liên minh châu Âu (EU) đang cân nhắc phạt Facebook số tiền lên tới 1,63 tỷ USD vì để xảy ra vụ tấn công khiến dữ liệu của 50 triệu người dùng bị rò rỉ mà mạng xã hội này công bố hôm thứ Sáu tuần trước.

Theo trang MarketWatch, án phạt trên sẽ được đưa ra nếu nhà chức trách phát hiện Facebook vi phạm luật bảo mật mới rất ngặt nghèo của EU.

Ủy ban Bảo vệ dữ liệu (DPC) của Ireland - cơ quan chịu trách nhiệm giám sát chính đối với Facebook trong vấn đề bảo mật tại châu Âu - hôm thứ Bảy cho biết đã yêu cầu Facebook cung cấp thêm thông tin về bản chất và quy mô của vụ tấn công, trong đó có các dữ liệu về mức độ ảnh hưởng đối với người dùng tại khu vực châu Âu.

Một phát ngôn viên của Facebook ngày Chủ nhật nói công ty sẽ phản hồi các yêu cầu của DPC và sẽ thông báo kịp thời cho nhà chức trách về các diễn biến mới của vụ việc. Hôm thứ Sáu, Giám đốc điều hành (CEO) Mark Zuckerberg của Facebook nói mạng xã hội lớn nhất thế giới đang nghiêm túc xử lý sự cố và vẫn đang cố gắng xác định chi tiết về quy mô và ảnh hưởng của vụ tấn công.

Đối với Facebook, vụ tấn công này là một đòn giáng mạnh vào những nỗ lực nhằm giành lại niềm tin sau một loạt vụ bê bối bảo mật và an ninh khiến người dùng và giới nghị sỹ nhiều quốc gia nổi giận. Đây cũng sẽ là một trong những "bài kiểm tra " lớn đầu tiên về việc EU sẽ thực thi ra luật bảo mật mới được áp dụng từ đầu năm nay.

Việc Facebook nhanh chóng công bố vụ tấn công sau khi phát hiện là một dấu hiệu cho thấy mức phạt nặng đưa ra trong luật này đang có tác dụng làm thay đổi các cách công ty xử lý các vụ rò rỉ dữ liệu quy mô lớn: thay vì giấu nhẹm một thời gian rồi mới công bố, giờ đây các công ty phải nhanh chóng thông tin, vì nếu không họ sẽ bị phạt nặng hơn.

Chẳng hạn, vụ tấn công nhằm vào cơ sở dữ liệu của hãng hàng không British Airways hồi đầu tháng 9 cũng được hãng này công bố chỉ chưa đầy 2 tuần sau khi phát hiện.

Theo quy định trong luật mới của châu Âu, các công ty không có các biện pháp đầy đủ để bảo vệ dữ liệu người dùng sẽ chịu mức phạt tối đa 20 triệu Euro, tương đương 23 triệu USD, hoặc 4% tổng doanh thu toàn cầu trong năm trước đó, tùy theo đâu là mức cao hơn. Đối với Facebook, mức phạt tối đa sẽ là 1,63 tỷ USD.

Luật mới cũng yêu cầu các công ty phải thông báo cho nhà chức trách về rò rỉ dữ liệu trong vòng 72 giờ đầu tiên sau khi phát hiện sự cố, nếu không sẽ phải chịu mức phạt tối đa sẽ là 2% tổng doanh thu toàn cầu.

DPC cho biết Facebook đã thông báo cho cơ quan này về vụ tấn công vào buổi tối ngày thứ Năm, có vẻ như trong giới hạn 72 giờ đồng hồ sau khi phát hiện sự cố.

Vụ điều tra của DPC là nguy cơ pháp lý mới nhất mà Facebook phải đối mặt từ giới chức Mỹ và châu Âu trong vấn đề bảo mật dữ liệu người dùng.

Hồi tháng 9, Giám đốc hoạt động (COO) của Facebok là bà Sheryl Sandberg đã phải ra điều trần trước Quốc hội Mỹ về vấn đề bảo mật. Trước đó, ông Zuckerberg cũng điều trần trước Quốc hội Mỹ sau vụ bê bối dữ liệu liên quan đến công ty Cambridge Analytica.