近日， 愛爾蘭數(shù)據(jù)保護委員會（DPC）結(jié)束了對 LinkedIn 為行為分析和定向廣告而處理個人數(shù)據(jù)的調(diào)查，并于本周四（10月24日）公布了調(diào)查結(jié)果。調(diào)查結(jié)果顯示，該平臺違反了多項 GDPR 原則，這促使 DPC 實施了經(jīng)濟制裁和運營變革。于是愛爾蘭數(shù)據(jù)保護委員會（DPC）決議對 LinkedIn 處以 3.1 億歐元（約23.8億人民幣）的罰款，該事件引發(fā)了人們對公司如何處理用戶數(shù)據(jù)的廣泛關(guān)注。

LinkedIn 違反了 GDPR 的基本要求

此前，LinkedIn 就被指控非法處理用戶數(shù)據(jù)。這些指控源于一個關(guān)注隱私的非營利組織 La Quadrature Du Net 最初向法國數(shù)據(jù)保護局提出的投訴。鑒于 LinkedIn 的主要機構(gòu)設(shè)在愛爾蘭，法國數(shù)據(jù)保護局將此案移交給了愛爾蘭數(shù)據(jù)保護局。

調(diào)查顯示，LinkedIn 依賴特定法律依據(jù)進行數(shù)據(jù)處理的做法不符合 GDPR 的要求。主要違規(guī)行為包括不遵守第 6 條和第 5(1)(a)條，這兩條都是 GDPR 的基本要素。

第 6 條概述了處理個人數(shù)據(jù)的合法理由，包括同意、合法利益和合同必要性。然而，LinkedIn 的處理方法被認為既不合法也不公平，尤其是在行為分析和定向廣告方面。

同意和合法利益問題

本案的核心是 LinkedIn 在處理第三方數(shù)據(jù)時未能獲得有效同意。根據(jù) GDPR，同意必須是自由給予的、知情的和具體的。DPC 裁定，LinkedIn 的同意機制不符合這些標(biāo)準(zhǔn)，因此其數(shù)據(jù)收集行為不合法。此外，LinkedIn 還試圖根據(jù)第 6(1)(f)條中的 “合法利益 ”條款為其行為辯護。該條款允許公司在未經(jīng)同意的情況下處理個人數(shù)據(jù)，只要這種處理是為了合法的商業(yè)目的。然而，DPC 認定 LinkedIn 的利益并沒有超過其用戶的基本權(quán)利和自由，尤其是在隱私和數(shù)據(jù)保護方面。

對 LinkedIn 的罰款和糾正措施

DPC 的最終決定導(dǎo)致了幾項重大處罰。除了 3.1 億歐元的罰款外，LinkedIn 還受到了正式譴責(zé)，并被勒令使其數(shù)據(jù)處理活動符合 GDPR 的要求。DPC 的決定還包括違反第 13 條和第 14 條的透明度規(guī)定，這兩條涉及公司必須向數(shù)據(jù)主體提供有關(guān)數(shù)據(jù)處理的信息。

了解行為分析和定向廣告

行為分析包括分析用戶活動提供的數(shù)據(jù)或從用戶活動中推斷出的數(shù)據(jù)，以個性化用戶的在線體驗，通常用于廣告。LinkedIn 使用這種技術(shù)提供針對用戶行為的廣告。雖然這種做法看似無害，但卻涉及重大的隱私問題，因為用戶可能并不完全清楚收集了多少數(shù)據(jù)或如何使用這些數(shù)據(jù)。

另一方面，定向廣告是指根據(jù)個人行為或個人信息向其展示的廣告。LinkedIn 等公司使用算法來決定哪些廣告最適合每個用戶。然而，如果用戶沒有被適當(dāng)告知他們的數(shù)據(jù)是如何被用于這些目的的，他們就會失去同意或選擇退出的能力。

LinkedIn 的下一步是什么？

LinkedIn 現(xiàn)在面臨的挑戰(zhàn)是使其數(shù)據(jù)處理實踐符合 GDPR。DPC 的決定要求該公司審查其同意機制、透明度政策以及對合法利益的依賴。如果不遵守這些要求可能會導(dǎo)致進一步的處罰。

愛爾蘭 DPC 對 LinkedIn 的裁決表明，科技公司在數(shù)據(jù)隱私和保護方面面臨著越來越多的責(zé)任。針對 LinkedIn 的罰款是監(jiān)管機構(gòu)打擊不尊重用戶隱私權(quán)的公司這一更廣泛趨勢的一部分。近年來，包括 Meta、X（前身為 Twitter）、谷歌和亞馬遜在內(nèi)的幾家大型科技公司都因違反 GDPR 而面臨類似的罰款。

規(guī)則的不斷收緊也證明監(jiān)管機構(gòu)正在發(fā)出明確的信息，那就是用戶數(shù)據(jù)不是可以利用的商品，而是需要保護的個人權(quán)利。

數(shù)據(jù)安全將越來越嚴格

隨著數(shù)據(jù)的價值不斷上升，全球各個國家在數(shù)據(jù)安全頂層設(shè)計上趨于嚴格，數(shù)據(jù)合規(guī)要求將會更加苛刻，數(shù)據(jù)安全產(chǎn)業(yè)或可迎來更大規(guī)模的市場。

例如日前，美國CISA宣布了一項史無前例的，極為嚴苛的數(shù)據(jù)安全規(guī)定，旨在防止“敵對國家”獲取美國政府和公民敏感數(shù)據(jù)。這一提案主要針對從事受限交易的（科技）企業(yè)，特別是那些涉及美國政府和個人敏感數(shù)據(jù)且有可能暴露給“重點關(guān)注國家”或“受限人員”的企業(yè)。

通過這一提案，CISA希望提升相關(guān)行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)，防止“重點關(guān)注國家”或個體通過技術(shù)手段獲取美國的關(guān)鍵數(shù)據(jù)。

14天內(nèi)必須修補已知漏洞

CISA新規(guī)提出了一系列嚴苛的安全措施，并給出了組織級別和數(shù)據(jù)級別的具體要求。以下是部分關(guān)鍵措施和要求：

• 資產(chǎn)清單維護：要求每月更新資產(chǎn)清單，包含IP地址和硬件MAC地址。
• 漏洞修補：已知漏洞須在14天內(nèi)修補；關(guān)鍵漏洞在15天內(nèi)，高風(fēng)險漏洞在30天內(nèi)修復(fù)。
• 網(wǎng)絡(luò)拓撲維護：保持準(zhǔn)確的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，以便于識別并響應(yīng)潛在的安全事件。
• 多因素認證：對所有關(guān)鍵系統(tǒng)實施多因素認證（MFA），并要求密碼長度至少為16位。
• 數(shù)據(jù)加密和掩碼：要求在受限交易中使用加密保護數(shù)據(jù)，減少數(shù)據(jù)收集或?qū)?shù)據(jù)進行掩碼處理，以防止未經(jīng)授權(quán)的訪問或與美國個人身份的關(guān)聯(lián)。
• 限制硬件連接：防止未經(jīng)授權(quán)的硬件設(shè)備（如USB設(shè)備）連接到受限系統(tǒng)。
• 日志收集：收集并保存對網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS/IPS）、防火墻、數(shù)據(jù)丟失預(yù)防系統(tǒng)（DLP）、VPN和登錄事件等相關(guān)的安全日志。

此外，CISA還提議使用同態(tài)加密或差分隱私等技術(shù)，以防止敏感數(shù)據(jù)被反向重構(gòu)。該提案與2024年早些時候拜登總統(tǒng)簽署的第14117號行政命令緊密相關(guān)，旨在解決現(xiàn)存的嚴重數(shù)據(jù)安全漏洞。受影響的行業(yè)范圍廣泛，波及大量技術(shù)企業(yè)，例如人工智能開發(fā)商、云服務(wù)提供商、電信公司、健康生物科技公司、金融機構(gòu)以及國防承包商等。