FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

近日， 爱尔兰数据保护委员会（DPC）结束了对 LinkedIn 为行为分析和定向广告而处理个人数据的调查，并于本周四（10月24日）公布了调查结果。调查结果显示，该平台违反了多项 GDPR 原则，这促使 DPC 实施了经济制裁和运营变革。于是爱尔兰数据保护委员会（DPC）决议对 LinkedIn 处以 3.1 亿欧元的罚款，该事件引发了人们对公司如何处理用户数据的广泛关注。

LinkedIn 违反了 GDPR 的基本要求

此前，LinkedIn 就被指控非法处理用户数据。这些指控源于一个关注隐私的非营利组织 La Quadrature Du Net 最初向法国数据保护局提出的投诉。鉴于 LinkedIn 的主要机构设在爱尔兰，法国数据保护局将此案移交给了爱尔兰数据保护局。

调查显示，LinkedIn 依赖特定法律依据进行数据处理的做法不符合 GDPR 的要求。主要违规行为包括不遵守第 6 条和第 5(1)(a)条，这两条都是 GDPR 的基本要素。

第 6 条概述了处理个人数据的合法理由，包括同意、合法利益和合同必要性。然而，LinkedIn 的处理方法被认为既不合法也不公平，尤其是在行为分析和定向广告方面。

同意和合法利益问题

本案的核心是 LinkedIn 在处理第三方数据时未能获得有效同意。根据 GDPR，同意必须是自由给予的、知情的和具体的。DPC 裁定，LinkedIn 的同意机制不符合这些标准，因此其数据收集行为不合法。
此外，LinkedIn 还试图根据第 6(1)(f)条中的 “合法利益 ”条款为其行为辩护。该条款允许公司在未经同意的情况下处理个人数据，只要这种处理是为了合法的商业目的。然而，DPC 认定 LinkedIn 的利益并没有超过其用户的基本权利和自由，尤其是在隐私和数据保护方面。

对 LinkedIn 的罚款和纠正措施

DPC 的最终决定导致了几项重大处罚。除了 3.1 亿欧元的罚款外，LinkedIn 还受到了正式谴责，并被勒令使其数据处理活动符合 GDPR 的要求。DPC 的决定还包括违反第 13 条和第 14 条的透明度规定，这两条涉及公司必须向数据主体提供有关数据处理的信息。

了解行为分析和定向广告

行为分析包括分析用户活动提供的数据或从用户活动中推断出的数据，以个性化用户的在线体验，通常用于广告。LinkedIn 使用这种技术提供针对用户行为的广告。虽然这种做法看似无害，但却涉及重大的隐私问题，因为用户可能并不完全清楚收集了多少数据或如何使用这些数据。

另一方面，定向广告是指根据个人行为或个人信息向其展示的广告。LinkedIn 等公司使用算法来决定哪些广告最适合每个用户。然而，如果用户没有被适当告知他们的数据是如何被用于这些目的的，他们就会失去同意或选择退出的能力。

LinkedIn 的下一步是什么？

LinkedIn 现在面临的挑战是使其数据处理实践符合 GDPR。DPC 的决定要求该公司审查其同意机制、透明度政策以及对合法利益的依赖。如果不遵守这些要求可能会导致进一步的处罚。

爱尔兰 DPC 对 LinkedIn 的裁决表明，科技公司在数据隐私和保护方面面临着越来越多的责任。针对 LinkedIn 的罚款是监管机构打击不尊重用户隐私权的公司这一更广泛趋势的一部分。近年来，包括 Meta、X（前身为 Twitter）、谷歌和亚马逊在内的几家大型科技公司都因违反 GDPR 而面临类似的罚款。

规则的收紧是监管机构发出的明确信息：用户数据不是可以利用的商品，而是需要保护的个人权利。

参考来源：Irish DPC Slaps LinkedIn With €310 Million GDPR Fine

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022