近日， 愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)（DPC）結(jié)束了對(duì) LinkedIn 為行為分析和定向廣告而處理個(gè)人數(shù)據(jù)的調(diào)查，并于本周四（10月24日）公布了調(diào)查結(jié)果。調(diào)查結(jié)果顯示，該平臺(tái)違反了多項(xiàng) GDPR 原則，這促使 DPC 實(shí)施了經(jīng)濟(jì)制裁和運(yùn)營變革。于是愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)（DPC）決議對(duì) LinkedIn 處以 3.1 億歐元（約23.8億人民幣）的罰款，該事件引發(fā)了人們對(duì)公司如何處理用戶數(shù)據(jù)的廣泛關(guān)注。

LinkedIn 違反了 GDPR 的基本要求

此前，LinkedIn 就被指控非法處理用戶數(shù)據(jù)。這些指控源于一個(gè)關(guān)注隱私的非營利組織 La Quadrature Du Net 最初向法國數(shù)據(jù)保護(hù)局提出的投訴。鑒于 LinkedIn 的主要機(jī)構(gòu)設(shè)在愛爾蘭，法國數(shù)據(jù)保護(hù)局將此案移交給了愛爾蘭數(shù)據(jù)保護(hù)局。

調(diào)查顯示，LinkedIn 依賴特定法律依據(jù)進(jìn)行數(shù)據(jù)處理的做法不符合 GDPR 的要求。主要違規(guī)行為包括不遵守第 6 條和第 5(1)(a)條，這兩條都是 GDPR 的基本要素。

第 6 條概述了處理個(gè)人數(shù)據(jù)的合法理由，包括同意、合法利益和合同必要性。然而，LinkedIn 的處理方法被認(rèn)為既不合法也不公平，尤其是在行為分析和定向廣告方面。

同意和合法利益問題

本案的核心是 LinkedIn 在處理第三方數(shù)據(jù)時(shí)未能獲得有效同意。根據(jù) GDPR，同意必須是自由給予的、知情的和具體的。DPC 裁定，LinkedIn 的同意機(jī)制不符合這些標(biāo)準(zhǔn)，因此其數(shù)據(jù)收集行為不合法。此外，LinkedIn 還試圖根據(jù)第 6(1)(f)條中的 “合法利益 ”條款為其行為辯護(hù)。該條款允許公司在未經(jīng)同意的情況下處理個(gè)人數(shù)據(jù)，只要這種處理是為了合法的商業(yè)目的。然而，DPC 認(rèn)定 LinkedIn 的利益并沒有超過其用戶的基本權(quán)利和自由，尤其是在隱私和數(shù)據(jù)保護(hù)方面。

對(duì) LinkedIn 的罰款和糾正措施

DPC 的最終決定導(dǎo)致了幾項(xiàng)重大處罰。除了 3.1 億歐元的罰款外，LinkedIn 還受到了正式譴責(zé)，并被勒令使其數(shù)據(jù)處理活動(dòng)符合 GDPR 的要求。DPC 的決定還包括違反第 13 條和第 14 條的透明度規(guī)定，這兩條涉及公司必須向數(shù)據(jù)主體提供有關(guān)數(shù)據(jù)處理的信息。

了解行為分析和定向廣告

行為分析包括分析用戶活動(dòng)提供的數(shù)據(jù)或從用戶活動(dòng)中推斷出的數(shù)據(jù)，以個(gè)性化用戶的在線體驗(yàn)，通常用于廣告。LinkedIn 使用這種技術(shù)提供針對(duì)用戶行為的廣告。雖然這種做法看似無害，但卻涉及重大的隱私問題，因?yàn)橛脩艨赡懿⒉煌耆宄占硕嗌贁?shù)據(jù)或如何使用這些數(shù)據(jù)。

另一方面，定向廣告是指根據(jù)個(gè)人行為或個(gè)人信息向其展示的廣告。LinkedIn 等公司使用算法來決定哪些廣告最適合每個(gè)用戶。然而，如果用戶沒有被適當(dāng)告知他們的數(shù)據(jù)是如何被用于這些目的的，他們就會(huì)失去同意或選擇退出的能力。

LinkedIn 的下一步是什么？

LinkedIn 現(xiàn)在面臨的挑戰(zhàn)是使其數(shù)據(jù)處理實(shí)踐符合 GDPR。DPC 的決定要求該公司審查其同意機(jī)制、透明度政策以及對(duì)合法利益的依賴。如果不遵守這些要求可能會(huì)導(dǎo)致進(jìn)一步的處罰。

愛爾蘭 DPC 對(duì) LinkedIn 的裁決表明，科技公司在數(shù)據(jù)隱私和保護(hù)方面面臨著越來越多的責(zé)任。針對(duì) LinkedIn 的罰款是監(jiān)管機(jī)構(gòu)打擊不尊重用戶隱私權(quán)的公司這一更廣泛趨勢的一部分。近年來，包括 Meta、X（前身為 Twitter）、谷歌和亞馬遜在內(nèi)的幾家大型科技公司都因違反 GDPR 而面臨類似的罰款。

規(guī)則的不斷收緊也證明監(jiān)管機(jī)構(gòu)正在發(fā)出明確的信息，那就是用戶數(shù)據(jù)不是可以利用的商品，而是需要保護(hù)的個(gè)人權(quán)利。

數(shù)據(jù)安全將越來越嚴(yán)格

隨著數(shù)據(jù)的價(jià)值不斷上升，全球各個(gè)國家在數(shù)據(jù)安全頂層設(shè)計(jì)上趨于嚴(yán)格，數(shù)據(jù)合規(guī)要求將會(huì)更加苛刻，數(shù)據(jù)安全產(chǎn)業(yè)或可迎來更大規(guī)模的市場。

例如日前，美國CISA宣布了一項(xiàng)史無前例的，極為嚴(yán)苛的數(shù)據(jù)安全規(guī)定，旨在防止“敵對(duì)國家”獲取美國政府和公民敏感數(shù)據(jù)。這一提案主要針對(duì)從事受限交易的（科技）企業(yè)，特別是那些涉及美國政府和個(gè)人敏感數(shù)據(jù)且有可能暴露給“重點(diǎn)關(guān)注國家”或“受限人員”的企業(yè)。

通過這一提案，CISA希望提升相關(guān)行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)，防止“重點(diǎn)關(guān)注國家”或個(gè)體通過技術(shù)手段獲取美國的關(guān)鍵數(shù)據(jù)。

14天內(nèi)必須修補(bǔ)已知漏洞

CISA新規(guī)提出了一系列嚴(yán)苛的安全措施，并給出了組織級(jí)別和數(shù)據(jù)級(jí)別的具體要求。以下是部分關(guān)鍵措施和要求：

• 資產(chǎn)清單維護(hù)：要求每月更新資產(chǎn)清單，包含IP地址和硬件MAC地址。
• 漏洞修補(bǔ)：已知漏洞須在14天內(nèi)修補(bǔ)；關(guān)鍵漏洞在15天內(nèi)，高風(fēng)險(xiǎn)漏洞在30天內(nèi)修復(fù)。
• 網(wǎng)絡(luò)拓?fù)渚S護(hù)：保持準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以便于識(shí)別并響應(yīng)潛在的安全事件。
• 多因素認(rèn)證：對(duì)所有關(guān)鍵系統(tǒng)實(shí)施多因素認(rèn)證（MFA），并要求密碼長度至少為16位。
• 數(shù)據(jù)加密和掩碼：要求在受限交易中使用加密保護(hù)數(shù)據(jù)，減少數(shù)據(jù)收集或?qū)?shù)據(jù)進(jìn)行掩碼處理，以防止未經(jīng)授權(quán)的訪問或與美國個(gè)人身份的關(guān)聯(lián)。
• 限制硬件連接：防止未經(jīng)授權(quán)的硬件設(shè)備（如USB設(shè)備）連接到受限系統(tǒng)。
• 日志收集：收集并保存對(duì)網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS/IPS）、防火墻、數(shù)據(jù)丟失預(yù)防系統(tǒng)（DLP）、VPN和登錄事件等相關(guān)的安全日志。

此外，CISA還提議使用同態(tài)加密或差分隱私等技術(shù)，以防止敏感數(shù)據(jù)被反向重構(gòu)。該提案與2024年早些時(shí)候拜登總統(tǒng)簽署的第14117號(hào)行政命令緊密相關(guān)，旨在解決現(xiàn)存的嚴(yán)重?cái)?shù)據(jù)安全漏洞。受影響的行業(yè)范圍廣泛，波及大量技術(shù)企業(yè)，例如人工智能開發(fā)商、云服務(wù)提供商、電信公司、健康生物科技公司、金融機(jī)構(gòu)以及國防承包商等。