LinkedIn以1800萬非用戶的電子信箱買臉書精準廣告

在歐洲自今年5月25日啟動GDPR（General Data Protection Regulation）的隱私法規後，對美國網際網路業者尤其特別盯防。LinkedIn上周五遭愛爾蘭政府指控不當用了1800萬名非其會員的電子郵件來購買發送精準廣告給臉書用戶。

愛爾蘭資料保護委員會（Data Protection Commission, DPC）上周發佈該委員會對LinkedIn愛爾蘭分公司進行的資料使用稽核報告。愛爾蘭政府是在接到一名非LinkedIn用戶投訴後展開調查。這名民眾並未註冊LinkedIn，卻在臉書接收到LinkedIn的精準廣告，擔心LinkedIn是取得其電子郵件為之。

愛爾蘭委員會調查後發現是LinkedIn美國總部作為愛爾蘭分公司的資料處理者，使用了經雜湊處理的近1800萬非會員電子郵件，並在未經資料控制者（愛爾蘭LinkedIn）同意下，在臉書平台上對這些人發送精準廣告。

雖然這個投訴圓滿解決，但愛爾蘭當局擔心這個問題是系統性的濫用，因此進一步稽核LinkedIn是否有適當的安全及組織性的措施，特別是對非會員資料的處理和保存。結果發現LinkedIn總部對非用戶資料的確以其演算法進行事前計算（pre-computation），以便送一些專業人士網絡的建議給他們。最後因此在愛爾蘭分公司的指導下，LinkedIn總部停止處理，並刪掉GDPR實施日2018年5月25日之前的相關個人資料。

Techcrunch引述LinkedIn歐洲區主管對該公司員工未能切實遵守嚴格的流程及程序感到抱歉，LinkedIn已經採取措施強化並確保未來不會再犯。而對於「事前計算」資料一事，LinkedIn也表示已改善非會員用戶隱私，並且「自願變更」其資料處理作法。

但是愛爾蘭委員會並未因此處罰LinkedIn，原因是對GDPR生效前的資料違規事件他們沒有權力。另外，該主管機關只糾正了「事前計算」一事，至於LinkedIn一開始從哪取得近1800萬非用戶資料，愛爾蘭政府並未說明是否解決。

愛爾蘭政府目前正進行的其他稽核包括臉書產品使用臉部辨識、WhatsApp被臉書買下後，違背其承諾而將用戶資料分享給了臉書、以及Yahoo 2016年外洩近500萬筆用戶資料等事件。