近日， 愛爾蘭數據保護委員會（DPC）結束了對 LinkedIn 為行為分析和定向廣告而處理個人數據的調查，并于本周四（10月24日）公布了調查結果。調查結果顯示，該平臺違反了多項 GDPR 原則，這促使 DPC 實施了經濟制裁和運營變革。于是愛爾蘭數據保護委員會（DPC）決議對 LinkedIn 處以 3.1 億歐元（約23.8億人民幣）的罰款，該事件引發了人們對公司如何處理用戶數據的廣泛關注。

LinkedIn 違反了 GDPR 的基本要求

此前，LinkedIn 就被指控非法處理用戶數據。這些指控源于一個關注隱私的非營利組織 La Quadrature Du Net 最初向法國數據保護局提出的投訴。鑒于 LinkedIn 的主要機構設在愛爾蘭，法國數據保護局將此案移交給了愛爾蘭數據保護局。

調查顯示，LinkedIn 依賴特定法律依據進行數據處理的做法不符合 GDPR 的要求。主要違規行為包括不遵守第 6 條和第 5(1)(a)條，這兩條都是 GDPR 的基本要素。

第 6 條概述了處理個人數據的合法理由，包括同意、合法利益和合同必要性。然而，LinkedIn 的處理方法被認為既不合法也不公平，尤其是在行為分析和定向廣告方面。

同意和合法利益問題

本案的核心是 LinkedIn 在處理第三方數據時未能獲得有效同意。根據 GDPR，同意必須是自由給予的、知情的和具體的。DPC 裁定，LinkedIn 的同意機制不符合這些標準，因此其數據收集行為不合法。此外，LinkedIn 還試圖根據第 6(1)(f)條中的 “合法利益 ”條款為其行為辯護。該條款允許公司在未經同意的情況下處理個人數據，只要這種處理是為了合法的商業目的。然而，DPC 認定 LinkedIn 的利益并沒有超過其用戶的基本權利和自由，尤其是在隱私和數據保護方面。

對 LinkedIn 的罰款和糾正措施

DPC 的最終決定導致了幾項重大處罰。除了 3.1 億歐元的罰款外，LinkedIn 還受到了正式譴責，并被勒令使其數據處理活動符合 GDPR 的要求。DPC 的決定還包括違反第 13 條和第 14 條的透明度規定，這兩條涉及公司必須向數據主體提供有關數據處理的信息。

了解行為分析和定向廣告

行為分析包括分析用戶活動提供的數據或從用戶活動中推斷出的數據，以個性化用戶的在線體驗，通常用于廣告。LinkedIn 使用這種技術提供針對用戶行為的廣告。雖然這種做法看似無害，但卻涉及重大的隱私問題，因為用戶可能并不完全清楚收集了多少數據或如何使用這些數據。

另一方面，定向廣告是指根據個人行為或個人信息向其展示的廣告。LinkedIn 等公司使用算法來決定哪些廣告最適合每個用戶。然而，如果用戶沒有被適當告知他們的數據是如何被用于這些目的的，他們就會失去同意或選擇退出的能力。

LinkedIn 的下一步是什么？

LinkedIn 現在面臨的挑戰是使其數據處理實踐符合 GDPR。DPC 的決定要求該公司審查其同意機制、透明度政策以及對合法利益的依賴。如果不遵守這些要求可能會導致進一步的處罰。

愛爾蘭 DPC 對 LinkedIn 的裁決表明，科技公司在數據隱私和保護方面面臨著越來越多的責任。針對 LinkedIn 的罰款是監管機構打擊不尊重用戶隱私權的公司這一更廣泛趨勢的一部分。近年來，包括 Meta、X（前身為 Twitter）、谷歌和亞馬遜在內的幾家大型科技公司都因違反 GDPR 而面臨類似的罰款。

規則的不斷收緊也證明監管機構正在發出明確的信息，那就是用戶數據不是可以利用的商品，而是需要保護的個人權利。

數據安全將越來越嚴格

隨著數據的價值不斷上升，全球各個國家在數據安全頂層設計上趨于嚴格，數據合規要求將會更加苛刻，數據安全產業或可迎來更大規模的市場。

例如日前，美國CISA宣布了一項史無前例的，極為嚴苛的數據安全規定，旨在防止“敵對國家”獲取美國政府和公民敏感數據。這一提案主要針對從事受限交易的（科技）企業，特別是那些涉及美國政府和個人敏感數據且有可能暴露給“重點關注國家”或“受限人員”的企業。

通過這一提案，CISA希望提升相關行業的數據安全標準，防止“重點關注國家”或個體通過技術手段獲取美國的關鍵數據。

14天內必須修補已知漏洞

CISA新規提出了一系列嚴苛的安全措施，并給出了組織級別和數據級別的具體要求。以下是部分關鍵措施和要求：

• 資產清單維護：要求每月更新資產清單，包含IP地址和硬件MAC地址。
• 漏洞修補：已知漏洞須在14天內修補；關鍵漏洞在15天內，高風險漏洞在30天內修復。
• 網絡拓撲維護：保持準確的網絡拓撲結構，以便于識別并響應潛在的安全事件。
• 多因素認證：對所有關鍵系統實施多因素認證（MFA），并要求密碼長度至少為16位。
• 數據加密和掩碼：要求在受限交易中使用加密保護數據，減少數據收集或對數據進行掩碼處理，以防止未經授權的訪問或與美國個人身份的關聯。
• 限制硬件連接：防止未經授權的硬件設備（如USB設備）連接到受限系統。
• 日志收集：收集并保存對網絡入侵檢測系統（IDS/IPS）、防火墻、數據丟失預防系統（DLP）、VPN和登錄事件等相關的安全日志。

此外，CISA還提議使用同態加密或差分隱私等技術，以防止敏感數據被反向重構。該提案與2024年早些時候拜登總統簽署的第14117號行政命令緊密相關，旨在解決現存的嚴重數據安全漏洞。受影響的行業范圍廣泛，波及大量技術企業，例如人工智能開發商、云服務提供商、電信公司、健康生物科技公司、金融機構以及國防承包商等。