LinkedIn领英侵犯数据保护 通过使用非会员的1800万电子邮件在Facebook上购买定向广告
2018-11-25 08:34:33爱云资讯阅读量:1,196
LinkedIn领英,一个拥有近6亿用户的工作世界的社交网络,已经多次被告知它如何建议与你建立不可思议的联系,甚至还不清楚LinkedIn是如何或为何知道足够的那些建议。
现在,与欧洲监管机构的磨合,说明LinkedIn在欧洲实施GDPR的一些实践不仅是不可思议的,而且实际上违反了数据保护规则,在LinkedIn案件中涉及约1800万个电子邮件地址。
爱尔兰数据保护专员周五发布的一份报告披露了详细情况,该报告涵盖了本日历年前六个月的活动。在一份有关Facebook,WhatsApp和雅虎数据泄露事件的调查报告中,DPC公布了一项之前没有报道过的调查。DPC已经进行了 - 并且得出结论 - 对微软拥有的LinkedIn进行调查,该调查最初是由用户在2017年提出的投诉引起的,该调查是关于LinkedIn关于不是社交网络成员的人的做法。
简而言之:为了让更多人注册该服务,LinkedIn承认它使用人们的电子邮件地址 - 总共约1800万 - 以一种不透明的方式。此后,LinkedIn因调查而停止了这种做法。
监督有两个部分,正如DPC所描述的那样:
首先,DPC发现美国的LinkedIn已经收到了1800万人的电子邮件,这些人还不是社交网络的成员,然后在Facebook平台上以散列形式使用这些电子邮件进行定向广告,“由于没有来自数据控制器“ - 即LinkedIn爱尔兰 - ”是必需的。“
关于此的一些背景故事:LinkedIn,Facebook和其他在GDPR生效之前生效的数据处理已经将爱尔兰带到了美国。
声称这是为了“简化”操作,但批评人士表示,此举可能有助于保护公司免受任何GDPR责任,而不是如何使用非欧盟用户的流程数据。
“投诉最终得到了友好解决,”DPC表示,“LinkedIn实施了一系列立即行动,停止处理用户数据,以达到引起投诉的目的。”
其次,DPC在初步调查中“关注所发现的更广泛的系统性问题”之后决定进行进一步审计。在那里,它发现LinkedIn也在应用其社交图形构建算法来构建网络 - 为用户建议专业网络,或者像DPC描述的那样“进行预先计算”。
这里的想法是建立兼容的专业连接的建议网络,以帮助用户克服从头开始构建网络的障碍 - 这是一些人在社交网络中的障碍之一。
“根据我们的审计结果,LinkedIn公司被LinkedIn爱尔兰公司指示为欧盟用户数据的数据控制者,在2018年5月25日之前停止预计算处理并删除与此类处理相关的所有个人数据,”DPC写道。5月25日是GDPR生效的日期。
LinkedIn为我们提供了以下有关整个调查的声明:
“我们很欣赏DPC 2017年对广告活动投诉的调查,并充分合作,”领导EMEA隐私主管Denis Kelleher表示。“遗憾的是,我们没有遵循强有力的流程和程序,因此我们很抱歉。我们采取了适当的行动,并改进了我们的工作方式,以确保不再发生这种情况。在审计过程中,我们还确定了另一个可以改善非成员数据隐私的领域,因此我们自愿改变了我们的做法。“
事件中有一些要点:
从表面上看LinkedIn的话来说,似乎该公司试图通过更进一步简单地修改DPC已经确定的内容,在它被召唤之前自愿改变做法,表明它的行为是真诚的。
再说一次,当涉及到推动被认为是允许行为的界限时,LinkedIn不会是第一家“请求宽恕而非许可”的公司。
如果你想知道为什么LinkedIn没有在这个过程中被罚款 - 这可能是推动公司从一开始就采取行动的一个杠杆,而不是仅仅在被召唤之后改变做法 - 那是因为直到最后实施GDPR五月,监管机构无权执行罚款。
爱尔兰数据保护专员周五发布的一份报告披露了详细情况,该报告涵盖了本日历年前六个月的活动。在一份有关Facebook,WhatsApp和雅虎数据泄露事件的调查报告中,DPC公布了一项之前没有报道过的调查。DPC已经进行了 - 并且得出结论 - 对微软拥有的LinkedIn进行调查,该调查最初是由用户在2017年提出的投诉引起的,该调查是关于LinkedIn关于不是社交网络成员的人的做法。
简而言之:为了让更多人注册该服务,LinkedIn承认它使用人们的电子邮件地址 - 总共约1800万 - 以一种不透明的方式。此后,LinkedIn因调查而停止了这种做法。
监督有两个部分,正如DPC所描述的那样:
首先,DPC发现美国的LinkedIn已经收到了1800万人的电子邮件,这些人还不是社交网络的成员,然后在Facebook平台上以散列形式使用这些电子邮件进行定向广告,“由于没有来自数据控制器“ - 即LinkedIn爱尔兰 - ”是必需的。“
关于此的一些背景故事:LinkedIn,Facebook和其他在GDPR生效之前生效的数据处理已经将爱尔兰带到了美国。
声称这是为了“简化”操作,但批评人士表示,此举可能有助于保护公司免受任何GDPR责任,而不是如何使用非欧盟用户的流程数据。
“投诉最终得到了友好解决,”DPC表示,“LinkedIn实施了一系列立即行动,停止处理用户数据,以达到引起投诉的目的。”
其次,DPC在初步调查中“关注所发现的更广泛的系统性问题”之后决定进行进一步审计。在那里,它发现LinkedIn也在应用其社交图形构建算法来构建网络 - 为用户建议专业网络,或者像DPC描述的那样“进行预先计算”。
这里的想法是建立兼容的专业连接的建议网络,以帮助用户克服从头开始构建网络的障碍 - 这是一些人在社交网络中的障碍之一。
“根据我们的审计结果,LinkedIn公司被LinkedIn爱尔兰公司指示为欧盟用户数据的数据控制者,在2018年5月25日之前停止预计算处理并删除与此类处理相关的所有个人数据,”DPC写道。5月25日是GDPR生效的日期。
LinkedIn为我们提供了以下有关整个调查的声明:
“我们很欣赏DPC 2017年对广告活动投诉的调查,并充分合作,”领导EMEA隐私主管Denis Kelleher表示。“遗憾的是,我们没有遵循强有力的流程和程序,因此我们很抱歉。我们采取了适当的行动,并改进了我们的工作方式,以确保不再发生这种情况。在审计过程中,我们还确定了另一个可以改善非成员数据隐私的领域,因此我们自愿改变了我们的做法。“
事件中有一些要点:
从表面上看LinkedIn的话来说,似乎该公司试图通过更进一步简单地修改DPC已经确定的内容,在它被召唤之前自愿改变做法,表明它的行为是真诚的。
再说一次,当涉及到推动被认为是允许行为的界限时,LinkedIn不会是第一家“请求宽恕而非许可”的公司。
如果你想知道为什么LinkedIn没有在这个过程中被罚款 - 这可能是推动公司从一开始就采取行动的一个杠杆,而不是仅仅在被召唤之后改变做法 - 那是因为直到最后实施GDPR五月,监管机构无权执行罚款。
我们在这里也不知道的事实 - DPC并没有真正解决它 - 这是LinkedIn首先获得这1800万个电子邮件地址和任何其他相关数据的地方。
报告中审查的其他案例,例如Facebook对面部识别使用的调查,以及WhatsApp和Facebook如何在彼此之间共享用户数据,仍在进行中。其他方面,例如调查雅虎安全漏洞,影响了5亿用户,现在正逐渐渗透到修改其做法的公司。