LinkedIn利用非会员的1800万电子邮件地址在Facebook上购买目标广告,违反了数据保护。-王其杉博客|程序员|科技新闻
LinkedIn是工作世界的社交网络,拥有近6亿用户,它多次被召唤,询问它是如何能够向您建议不可思议的连接的,当时甚至不清楚LinkedIn将如何或为什么知道足够的信息来首先提出这些建议。
现在,欧洲监管机构的争执说明了LinkedIn导致欧洲实施GDPR的一些做法不仅不可思议,而且实际上违反了数据保护规则,在LinkedIn涉及大约1800万电子邮件地址的情况下。
爱尔兰数据保护专员周五发表的一份报告披露了有关这一日历年头六个月活动的细节。在一份有关Facebook、WhatsApp和雅虎数据泄露的调查报告中,DPC披露了一项此前没有报告的调查。民主党已经——并得出结论——对微软拥有的LinkedIn进行了一项调查,该调查最初是由用户在2017年针对LinkedIn关于非社交网络成员的行为的投诉引起的。
简而言之:为了让更多的人注册这项服务,LinkedIn承认它以不透明的方式使用人们的电子邮件地址——总共大约1800万。此后,LinkedIn作为调查的结果停止了实践。
监督有两个部分,正如DPC所描述的:
首先,民主党发现,美国的LinkedIn已经为尚未成为社交网络成员的1800万人获取了电子邮件,然后将这些邮件以散列形式用于Facebook平台上的目标广告,“没有数据控制器的指示”-在IS,LinkedIn爱尔兰——“按要求”。
这方面的一些背景情况:LinkedIn、Facebook和其他在GDPR生效之前将经过爱尔兰的数据处理转移到了美国。
该声明称,此举是为了“精简”业务,但批评人士表示,这些举措可能有助于保护企业免受因非欧盟用户如何使用过程数据而产生的国内生产总值(GDP)债务的影响。
“投诉最终得到了友好解决,”DPC说,“LinkedIn立即采取了一系列行动,停止处理用户数据,以免引起投诉。”
其次,在初步调查中“关注更广泛的系统性问题”之后,民主党决定进行进一步的审计。在那里,它发现LinkedIn还应用其社交图构建算法来构建网络——向用户建议专业网络,或者如DPC所描述的“进行预计算”。
这里提出的想法是构建兼容的专业连接网络,以帮助用户克服必须从头构建网络的障碍——这对于某些人来说是社交网络的障碍之一。
“根据我们的审计结果,爱尔兰LinkedIn公司作为欧盟用户数据的数据控制器,指示LinkedIn公司在2018年5月25日之前停止预计算处理并删除所有与此类处理相关的个人数据,”DPC写道。5月25日是GDPR生效的日期。
LinkedIn就整个调查向我们提供了以下声明:
“我们赞赏民主党2017年对有关广告活动的投诉的调查,并予以充分合作,”LinkedIn的EMEA隐私主管Denis Kelleher说。“不幸的是,我们实施的强有力的过程和程序没有得到遵守,对此我们深表遗憾。”我们已经采取了适当的行动,并改进了我们的工作方式,以确保这种情况不会再次发生。在审计期间,我们还确定了一个进一步的领域,我们可以改善非成员的数据隐私,因此我们自愿改变了我们的做法。”
(“进一步区域”是预先计算的)。
事件中有一些外泄:
从表面上看,LinkedIn似乎试图通过比简单地修改DPC所确定的内容更进一步,在被叫出来之前自愿地改变惯例,来显示其行为是真诚的。
再说一次,LinkedIn不会是第一家“请求原谅,而不是允许”的公司,当涉及到推进被认为是允许的行为的界限时。
如果你想知道为什么LinkedIn在这个过程中没有受到罚款,这可能是促使公司从一开始就采取行动的一个杠杆,而不是仅仅在被叫出来之后改变做法,那是因为直到5月底实施GDPR,监管机构才执行罚款的权力。
我们在这里也不真正知道的——民主党并没有真正地解决它——是LinkedIn最初获得1800万电子邮件地址和其他相关数据的地方。
报告中审查的其他案例,如Facebook对面部识别使用情况的调查,以及WhatsApp和Facebook之间如何共享用户数据,仍在进行中。其他的,比如对影响5亿用户的雅虎安全漏洞的调查,现在正逐渐深入到这些公司修改他们的做法。