在欧洲自今年5月25日启动GDPR(General Data Protection Regulation)的隐私法规后,对美国互联网企业进行特别盯防。LinkedIn上周五遭爱尔兰政府指控不当用了1800万名非其会员的电子邮件来购买发送精准广告给脸书用户。
爱尔兰数据保护委员会(Data Protection Commission,DPC)上周发布该委员会对LinkedIn爱尔兰分公司进行的数据使用审核报告。爱尔兰政府是在接到一名非LinkedIn用户投诉后展开调查。这名人们并未注册LinkedIn,却在脸书接收到LinkedIn的精准广告,担心LinkedIn是取得其电子邮件为之。
爱尔兰委员会调查后发现是LinkedIn美国总部作为爱尔兰分公司的数据处理者,使用了经哈希处理的近1800万非会员电子邮件,并在未经数据控制者(爱尔兰LinkedIn)同意下,在脸书平台上对这些人发送精准广告。
虽然这个投诉圆满解决,但爱尔兰当局担心这个问题是系统性的滥用,因此进一步审核LinkedIn是否有适当的安全及组织性的措施,特别是对非会员数据的处理和保存。结果发现LinkedIn总部对非用户数据的确以其算法进行事前计算(pre-computation),以便送一些专业人士网络的建议给他们。最后因此在爱尔兰分公司的指导下,LinkedIn总部停止处理,并删掉GDPR实施日2018年5月25日之前的相关个人数据。
Techcrunch引述LinkedIn欧洲区主管对该公司员工未能切实遵守严格的流程及程序感到抱歉,LinkedIn已经采取措施强化并确保未来不会再犯。而对于“事前计算”数据一事,LinkedIn也表示已改善非会员用户隐私,并且“自愿变更”其数据处理作法。
但是爱尔兰委员会并未因此处罚LinkedIn,原因是对GDPR生效前的数据违规事件他们没有权力。另外,该主管机关只纠正了“事前计算”一事,至于LinkedIn一开始从哪取得近1800万非用户数据,爱尔兰政府并未说明是否解决。
爱尔兰政府目前正进行的其他审核包括脸书产品使用脸部识别、WhatsApp被脸书买下后,违背其承诺而将用户数据分享给了脸书、以及Yahoo 2016年外泄近500万笔用户数据等事件。