KASPR违规收集LinkedIn上的隐藏联系信息：在法国被罚款24万欧元

2024年12月5日，法国国家信息与自由委员会（CNIL）对KASPR公司处以24万欧元的罚款，主要是因为该公司收集了在LinkedIn上用户即使已经隐藏的联系信息。

背景

KASPR公司销售一款付费的Chrome浏览器扩展程序，使客户能够获取他们在LinkedIn社交网络上访问的个人的专业联系信息。为此，公司从LinkedIn和其他网站（如域名注册机构）构建了一个联系信息数据库。这样收集的联系信息通常使公司的客户能够联系目标个人，例如用于商业拓展、招聘或身份验证。KASPR的数据库包含约1.6亿个联系人。

CNIL收到了许多人的投诉，他们被通过KASPR扩展程序获取他们联系信息的实体骚扰。

在检查中发现的基础上，负责发布制裁的CNIL限制委员会认为，该公司未能遵守《通用数据保护条例》（GDPR）下的多项义务。CNIL对KASPR处以24万欧元的公开罚款，并命令公司遵守GDPR。这项罚款是在与CNIL所有欧洲同行合作下采纳的。

被制裁的违规行为

未能遵守合法依据的义务（GDPR第6条）

在LinkedIn上，用户可以选择四种选项来确定他们的联系信息的可见性：

1. “仅对我可见”；

2. “LinkedIn上的任何人”；

3. “1度联系人”；

4. “1度和2度联系人”。

然而， 除了那些选择对所有人可见的用户的联系信息外，KASPR还收集了那些选择将可见性限制在他们的1度和2度联系人的用户的信息。

CNIL认为，KASPR收集LinkedIn用户明确限制可见性的联系信息超出了在专业社交网络上注册的人可以合理预期的范围。CNIL指出，对于这些个人来说，他们选择将联系信息对他们的1度和2度联系人可见，即对他们在社交网络上的联系人及其联系人的联系人可见，并不意味着KASPR被授权访问和收集他们的联系信息。

在这种情况下，CNIL认为这些联系信息被非法收集。

未能遵守与处理目的相称的数据保留期限的义务（GDPR第5-1-e条）

CNIL注意到，对于公司以合法方式收集的数据，即那些选择在LinkedIn上公开联系信息的人，公司将用户的联系信息保留5年，这通常发生在一个人更换工作或雇主时。然而，对于在5年内更换工作或雇主的人来说，CNIL注意到这种保留期限的更新导致他们的数据被保留的时间不成比例地长。

未能遵守向个人提供透明度和信息的义务（GDPR第12条和第14条）

公司直到2022年才开始通知数据主体他们的个人数据已被收集，这是在KASPR扩展程序实施四年后。信息是通过一封英文电子邮件提供的，附有反对处理的链接。

除了公司延迟通知个人外，CNIL还认为，通过一封英文电子邮件通知个人他们的数据收集情况，并没有提供透明和易于理解的信息。

未能尊重个人访问权（GDPR第15条）

当被骚扰的人询问KASPR他们的联系信息是如何被收集的时，公司只是告诉他们，他们的联系信息是从公开可访问的来源收集的。

在指出公司应该能够指明“所有可用的数据来源”信息后，CNIL发现，即使公司技术上无法指明每个有关个人的数据收集来源，它仍然知道一些为其数据库提供数据的来源，这些来源在其隐私政策中也有列出。

决定

CNIL对KASPR处以24万欧元的罚款，以惩罚所有这些违规行为，并命令公司：

• 停止收集选择限制其联系信息可见性的个人的数据，并删除以这种方式收集的数据。如果无法区分那些可见性被限制的数据，公司必须在3个月内通知有关人员处理他们的数据，并提供反对的可能性，并且仅将他们的数据用于此目的；

• 停止自动更新目标个人个人数据的存储；

• 用被收集数据的人理解的语言通知他们；