12月15日，著名約會交友應(yīng)用Grindr被挪威數(shù)據(jù)保護(hù)局(DPA)罰款650萬歐元(約合人民幣4963萬)，原因是Grindr“嚴(yán)重”違反GDPR規(guī)則，未經(jīng)用戶明確同意向廣告商出售位置、IP、年齡等用戶個人數(shù)據(jù)。

Grindr未經(jīng)用戶明確同意出售敏感個人信息

挪威DPA國際部負(fù)責(zé)人Tobias Judin解釋，“我們認(rèn)為，Grindr在沒有法律依據(jù)的情況下向第三方披露了用戶數(shù)據(jù)并用于廣告。這與GDPR的‘有效同意’要求相違背。”

用戶被迫同意該公司的隱私政策，但隱私政策中沒有詢問用戶是否同意將其數(shù)據(jù)用于廣告等行為。這些數(shù)據(jù)包括用戶GPS位置、IP地址、廣告ID、年齡和性別。由于這是一款為性少數(shù)群體提供約會的應(yīng)用程序，這意味著用戶的性取向數(shù)據(jù)被曝光。

調(diào)查起源于挪威消費(fèi)者委員會在2020年向Grindr提出訴訟，稱其正積極向多個第三方出售用戶敏感信息。

挪威DPA起初向Grindr開出了860萬英鎊的罰單，但在Grindr提供相關(guān)財務(wù)細(xì)節(jié)并更改應(yīng)用內(nèi)的權(quán)限許可后，DPA將這一數(shù)字降到了650萬歐元。但該數(shù)字依然是挪威DPA開出的最大的罰單。

Grindr現(xiàn)在有三周時間來決定是否發(fā)起上訴。

[[440791]]

Grindr，來源：InfoSecurity

挪威DPA的罰款決定得到了歐洲消費(fèi)者組織(BEUC)的支持。BEUC的副總干事Ursula Pachl表示。"Grindr非法利用和分享其用戶的敏感信息，用于定向廣告。如今的個性化廣告行業(yè)全天候跟蹤和分析消費(fèi)者的行為和數(shù)據(jù)，這種商業(yè)模式顯然違反了歐盟的數(shù)據(jù)保護(hù)規(guī)則，損害了消費(fèi)者的利益。Grindr是倒下的第一張多米諾骨牌，我們希望當(dāng)局開始對其他公司處以罰款，因為這類行為已經(jīng)充斥著廣告技術(shù)行業(yè)。”

歐盟更加積極地執(zhí)行GDPR

多種跡象表明，監(jiān)管機(jī)構(gòu)正對GDPR采取更嚴(yán)格的執(zhí)法。今年9月，WhatsApp因未履行GDPR透明度義務(wù)而被愛爾蘭數(shù)據(jù)保護(hù)委員會(DPC)罰款2.25億歐元;而亞馬遜則在7月因涉嫌未依法處理個人數(shù)據(jù)被罰款8.866億美元。

法律公司Cordery Compliance合伙人喬納森·阿姆斯特朗表示，“我認(rèn)為該案件證實了我們觀察到的幾個趨勢。首先，監(jiān)管機(jī)構(gòu)更加積極地執(zhí)行數(shù)據(jù)保護(hù)法，僅GDPR的罰款現(xiàn)在就超過了13億歐元，在未來幾周至少還有1億歐元的罰款被繳納。其次，透明度是數(shù)據(jù)保護(hù)執(zhí)法的一個關(guān)鍵主題。當(dāng)GDPR出臺時，一些人說這一切都是為了安全，現(xiàn)在證明了這是錯誤的。監(jiān)管機(jī)構(gòu)地目的是要清楚他們收集的數(shù)據(jù)，他們?nèi)绾问褂眠@些數(shù)據(jù)以及他們與誰共享這些數(shù)據(jù)。第三，這也顯示了隱私保護(hù)者的力量。馬克斯·施雷姆斯是最初投訴的幕后推手之一，他主導(dǎo)過很多隱私保護(hù)運(yùn)動。當(dāng)前隱私保護(hù)者和訴訟人正變得越來越突出，并且這種趨勢將一直持續(xù)下去。”

在歐盟對數(shù)據(jù)安全嚴(yán)加監(jiān)管的同時，中國也相繼出臺《數(shù)據(jù)安全法》等監(jiān)管法案。12月14日，中國消費(fèi)者協(xié)會還對主流APP進(jìn)行了賬號注銷和自動化推薦退訂的測評。

在其發(fā)布的《50款A(yù)PP賬號注銷及自動化推薦退訂測評報告》，40%的受排查APP存在不能順利注銷帳號問題;10%的受排查APP存在不能關(guān)閉自動化推薦，或關(guān)閉方式過于隱蔽的問題。

原文鏈接：https://www.infosecurity-magazine.com/news/grindr-fined-user-data-explicit/