通過超過10億名企業用戶,微軟旗下的LinkedIn掌握著大量可識別個人身份的資訊,其中包括可能涉及宗教信仰和政治立場的敏感數據。然而,LinkedIn究竟如何使用這些數據,目前仍不透明。
一家銷售LinkedIn數據瀏覽器擴展插件的歐洲小型公司,發起了一場名為"BrowserGate"的維權行動,指控LinkedIn"非法掃描用戶電腦",並將其定性為"現代企業史上規模最大的商業間諜行動之一"。
該公司聲稱:"每當LinkedIn的10億用戶訪問linkedin.com時,隱藏代碼就會掃描其電腦上安裝的軟體,收集相關數據,並將其傳輸至LinkedIn伺服器及包括一家美以網路安全公司在內的第三方機構。"
"BrowserGate"網站進一步指出:"用戶從未被詢問,也從未被告知。LinkedIn的隱私政策中對此隻字未提。由於LinkedIn掌握每位用戶的真實姓名、僱主及職位資訊,其掃描對象並非匿名訪客,而是經過實名認證、來自特定公司的個人。"
對此,LinkedIn否認了部分指控,但對其餘內容未予回應。
LinkedIn在一份聲明中表示:"這一指控完全是無中生有,如同紙牌屋一般不堪一擊。我們確實在隱私政策中披露了掃描瀏覽器擴展的行為,目的是檢測濫用行為並維護網站穩定性。"
然而,當被追問是否僅將該數據用於上述目的時,LinkedIn並未作出回應。
指控的核心人物自稱史蒂芬·莫雷爾(Steven Morrell,非其真實姓名,本人要求不予公開)。他所代表的公司也有多個名稱,包括Teamfluence和Fairlinked。
莫雷爾表示,LinkedIn收集的數據涉及敏感細節,甚至可能被用於推斷用戶的宗教信仰和政治傾向,這可能違反歐洲隱私法規。但他同時強調,他並非斷言LinkedIn確實在使用這些數據進行上述分析,而只是指出其存在這樣做的可能性。事實上,類似的情況在幾乎所有大型科技公司中都普遍存在。
值得注意的是,莫雷爾本人並非完全中立——他與LinkedIn之間在德國存在法律糾紛,他指控LinkedIn違反了歐盟相關規定,並以不當理由將他及其他用戶封禁。LinkedIn則反指莫雷爾等原告通過其插件違反了平台服務條款。上月,慕尼黑一名法官支持了LinkedIn的立場,駁回了原告申請臨時禁令的請求。
Info-Tech研究集團研究總監薩法亞特·穆罕默德(Safayat Moahamad)指出,如此深度的數據採集行為,確實可能在歐盟及英國的合規層面引發爭議。
他表示:"當平台能夠合理地將組織層面的政策執法行為與消費者保護及監管合規掛鉤時,歐洲法院很可能傾向於支持平台限制自動化數據採集的立場。"
網路安全顧問、FormerGov執行董事布萊恩·萊文(Brian Levine)建議,企業CIO應藉助此次事件——即便最終證明指控並不屬實——重新審視並優化其數據戰略與隱私政策。
他表示:"假設BrowserGate的指控屬實,LinkedIn用戶應儘量減少瀏覽器所暴露的可識別、可追蹤或敏感數據,企業在事實核實之前,應將LinkedIn視為潛在的高風險網路環境。即便BrowserGate的說法有所誇大,瀏覽器指紋識別也是網際網路上真實存在且廣泛應用的技術手段。應像對待任何第三方數據採集方一樣對待LinkedIn——過去人們普遍認為LinkedIn是安全的,但這一假設或許需要重新評估。"
萊文還建議IT高管"默認LinkedIn有能力繪製出企業的技術棧全貌"。如果相關指控屬實,LinkedIn甚至可能推斷出企業員工使用的SaaS工具、依賴的競爭對手產品、員工使用的求職工具,以及員工在使用與政治或宗教相關的瀏覽器擴展情況。
他建議,IT部門應考慮在敏感網路中隱藏LinkedIn,或要求僅通過虛擬桌面基礎架構(VDI)訪問,同時採用瀏覽器隔離技術。部分企業甚至可以考慮專門使用一個獨立的隔離瀏覽器來訪問LinkedIn,或使用沙盒化瀏覽器會話,例如Browserling或其他雲隔離瀏覽器。
Q&A
Q1:LinkedIn被指控的BrowserGate事件是什麼?
A:BrowserGate是由一家歐洲小型公司發起的維權行動,指控LinkedIn在用戶不知情的情況下,通過隱藏代碼掃描用戶電腦上安裝的軟體,並將相關數據傳輸至其伺服器及第三方機構。LinkedIn否認了部分指控,稱掃描瀏覽器擴展的行為已在隱私政策中披露,目的是檢測濫用和維護網站穩定,但對數據是否僅用於此目的未予回應。
Q2:LinkedIn收集的數據可能涉及哪些隱私風險?
A:據指控方稱,LinkedIn收集的數據可能涵蓋用戶安裝的軟體資訊,並有可能被用於推斷用戶的宗教信仰和政治立場。安全專家指出,如果指控屬實,LinkedIn甚至可以推斷出企業的技術棧、員工使用的SaaS工具及求職工具等敏感商業資訊,這在歐盟隱私法規層面可能存在合規風險。
Q3:企業CIO應如何應對LinkedIn潛在的數據隱私風險?
A:網路安全顧問布萊恩·萊文建議,企業CIO應將LinkedIn視為潛在的第三方數據採集方,考慮在敏感網路中隱藏LinkedIn,或僅通過VDI訪問。同時可採用瀏覽器隔離技術,或使用Browserling等沙盒化瀏覽器專門訪問LinkedIn,並建議員工減少瀏覽器所暴露的可識別和敏感數據。
