因非法使用用户数据，这家社交巨头被罚23.8亿元

左右滑动查看更多

近日， 爱尔兰数据保护委员会（DPC）结束了对 LinkedIn 为行为分析和定向广告而处理个人数据的调查，并于本周四（10月24日）公布了调查结果。 调查结果显示，该平台违反了多项 GDPR 原则，这促使 DPC 实施了经济制裁和运营变革。 于是爱尔兰数据保护委员会（DPC）决议对 LinkedIn 处以 3.1 亿欧元（约23.8亿人民币）的罚款，该事件引发了人们对公司如何处理用户数据的广泛关注。

此前，LinkedIn 就被指控非法处理用户数据。这些指控源于一个关注隐私的非营利组织 La Quadrature Du Net 最初向法国数据保护局提出的投诉。鉴于 LinkedIn 的主要机构设在爱尔兰，法国数据保护局将此案移交给了爱尔兰数据保护局。

调查显示，LinkedIn 依赖特定法律依据进行数据处理的做法不符合 GDPR 的要求。主要违规行为包括不遵守第 6 条和第 5(1)(a)条，这两条都是 GDPR 的基本要素。

第 6 条概述了处理个人数据的合法理由，包括同意、合法利益和合同必要性。然而，LinkedIn 的处理方法被认为既不合法也不公平，尤其是在行为分析和定向广告方面。

本案的核心是 LinkedIn 在处理第三方数据时未能获得有效同意。根据 GDPR，同意必须是自由给予的、知情的和具体的。DPC 裁定，LinkedIn 的同意机制不符合这些标准，因此其数据收集行为不合法。

此外，LinkedIn 还试图根据第 6(1)(f)条中的 “合法利益 ”条款为其行为辩护。该条款允许公司在未经同意的情况下处理个人数据，只要这种处理是为了合法的商业目的。然而，DPC 认定 LinkedIn 的利益并没有超过其用户的基本权利和自由，尤其是在隐私和数据保护方面。

DPC 的最终决定导致了几项重大处罚。除了 3.1 亿欧元的罚款外，LinkedIn 还受到了正式谴责，并被勒令使其数据处理活动符合 GDPR 的要求。DPC 的决定还包括违反第 13 条和第 14 条的透明度规定，这两条涉及公司必须向数据主体提供有关数据处理的信息。

行为分析包括分析用户活动提供的数据或从用户活动中推断出的数据，以个性化用户的在线体验，通常用于广告。LinkedIn 使用这种技术提供针对用户行为的广告。虽然这种做法看似无害，但却涉及重大的隐私问题，因为用户可能并不完全清楚收集了多少数据或如何使用这些数据。

另一方面，定向广告是指根据个人行为或个人信息向其展示的广告。LinkedIn 等公司使用算法来决定哪些广告最适合每个用户。然而，如果用户没有被适当告知他们的数据是如何被用于这些目的的，他们就会失去同意或选择退出的能力。

LinkedIn 现在面临的挑战是使其数据处理实践符合 GDPR。DPC 的决定要求该公司审查其同意机制、透明度政策以及对合法利益的依赖。如果不遵守这些要求可能会导致进一步的处罚。

爱尔兰 DPC 对 LinkedIn 的裁决表明，科技公司在数据隐私和保护方面面临着越来越多的责任。针对 LinkedIn 的罚款是监管机构打击不尊重用户隐私权的公司这一更广泛趋势的一部分。近年来，包括 Meta、X（前身为 Twitter）、谷歌和亚马逊在内的几家大型科技公司都因违反 GDPR 而面临类似的罚款。

规则的不断收紧也证明监管机构正在发出明确的信息，那就是用户数据不是可以利用的商品，而是需要保护的个人权利。

随着数据的价值不断上升，全球各个国家在数据安全顶层设计上趋于严格，数据合规要求将会更加苛刻，数据安全产业或可迎来更大规模的市场。

例如日前，美国CISA宣布了一项史无前例的，极为严苛的数据安全规定，旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的（科技）企业，特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。

通过这一提案，CISA希望提升相关行业的数据安全标准，防止“重点关注国家”或个体通过技术手段获取美国的关键数据。

14天内必须修补已知漏洞

CISA新规提出了一系列严苛的安全措施，并给出了组织级别和数据级别的具体要求。以下是部分关键措施和要求：

• 资产清单维护：要求每月更新资产清单，包含IP地址和硬件MAC地址。

• 漏洞修补：已知漏洞须在14天内修补；关键漏洞在15天内，高风险漏洞在30天内修复。

• 网络拓扑维护：保持准确的网络拓扑结构，以便于识别并响应潜在的安全事件。

• 多因素认证：对所有关键系统实施多因素认证（MFA），并要求密码长度至少为16位。

• 数据加密和掩码：要求在受限交易中使用加密保护数据，减少数据收集或对数据进行掩码处理，以防止未经授权的访问或与美国个人身份的关联。

• 限制硬件连接：防止未经授权的硬件设备（如USB设备）连接到受限系统。

• 日志收集：收集并保存对网络入侵检测系统（IDS/IPS）、防火墙、数据丢失预防系统（DLP）、VPN和登录事件等相关的安全日志。

此外，CISA还提议使用同态加密或差分隐私等技术，以防止敏感数据被反向重构。该提案与2024年早些时候拜登总统签署的第14117号行政命令紧密相关，旨在解决现存的严重数据安全漏洞。受影响的行业范围广泛，波及大量技术企业，例如人工智能开发商、云服务提供商、电信公司、健康生物科技公司、金融机构以及国防承包商等。

https://thecyberexpress.com/linkedin-fined-310-million-by-irish-dpc/