12月15日,著名约会交友应用Grindr被挪威数据保护局(DPA)罚款650万欧元(约合人民币4963万),原因是Grindr“严重”违反GDPR规则,未经用户明确同意向广告商出售位置、IP、年龄等用户个人数据。
Grindr未经用户明确同意出售敏感个人信息
挪威DPA国际部负责人Tobias Judin解释,“我们认为,Grindr在没有法律依据的情况下向第三方披露了用户数据并用于广告。这与GDPR的‘有效同意’要求相违背。”
用户被迫同意该公司的隐私政策,但隐私政策中没有询问用户是否同意将其数据用于广告等行为。这些数据包括用户GPS位置、IP地址、广告ID、年龄和性别。由于这是一款为性少数群体提供约会的应用程序,这意味着用户的性取向数据被曝光。
调查起源于挪威消费者委员会在2020年向Grindr提出诉讼,称其正积极向多个第三方出售用户敏感信息。
挪威DPA起初向Grindr开出了860万英镑的罚单,但在Grindr提供相关财务细节并更改应用内的权限许可后,DPA将这一数字降到了650万欧元。但该数字依然是挪威DPA开出的最大的罚单。
Grindr现在有三周时间来决定是否发起上诉。
Grindr,来源:InfoSecurity
挪威DPA的罚款决定得到了欧洲消费者组织(BEUC)的支持。BEUC的副总干事Ursula Pachl表示。"Grindr非法利用和分享其用户的敏感信息,用于定向广告。如今的个性化广告行业全天候跟踪和分析消费者的行为和数据,这种商业模式显然违反了欧盟的数据保护规则,损害了消费者的利益。Grindr是倒下的第一张多米诺骨牌,我们希望当局开始对其他公司处以罚款,因为这类行为已经充斥着广告技术行业。”
欧盟更加积极地执行GDPR
多种迹象表明,监管机构正对GDPR采取更严格的执法。今年9月,WhatsApp因未履行GDPR透明度义务而被爱尔兰数据保护委员会(DPC)罚款2.25亿欧元;而亚马逊则在7月因涉嫌未依法处理个人数据被罚款8.866亿美元。
法律公司Cordery Compliance合伙人乔纳森·阿姆斯特朗表示,“我认为该案件证实了我们观察到的几个趋势。首先,监管机构更加积极地执行数据保护法,仅GDPR的罚款现在就超过了13亿欧元,在未来几周至少还有1亿欧元的罚款被缴纳。其次,透明度是数据保护执法的一个关键主题。当GDPR出台时,一些人说这一切都是为了安全,现在证明了这是错误的。监管机构地目的是要清楚他们收集的数据,他们如何使用这些数据以及他们与谁共享这些数据。第三,这也显示了隐私保护者的力量。马克斯·施雷姆斯是最初投诉的幕后推手之一,他主导过很多隐私保护运动。当前隐私保护者和诉讼人正变得越来越突出,并且这种趋势将一直持续下去。”
在欧盟对数据安全严加监管的同时,中国也相继出台《数据安全法》等监管法案。12月14日,中国消费者协会还对主流APP进行了账号注销和自动化推荐退订的测评。
在其发布的《50款APP账号注销及自动化推荐退订测评报告》,40%的受排查APP存在不能顺利注销帐号问题;10%的受排查APP存在不能关闭自动化推荐,或关闭方式过于隐蔽的问题。
原文链接:https://www.infosecurity-magazine.com/news/grindr-fined-user-data-explicit/