通过超过10亿名企业用户,微软旗下的LinkedIn掌握着大量可识别个人身份的信息,其中包括可能涉及宗教信仰和政治立场的敏感数据。然而,LinkedIn究竟如何使用这些数据,目前仍不透明。
一家销售LinkedIn数据浏览器扩展插件的欧洲小型公司,发起了一场名为"BrowserGate"的维权行动,指控LinkedIn"非法扫描用户电脑",并将其定性为"现代企业史上规模最大的商业间谍行动之一"。
该公司声称:"每当LinkedIn的10亿用户访问linkedin.com时,隐藏代码就会扫描其电脑上安装的软件,收集相关数据,并将其传输至LinkedIn服务器及包括一家美以网络安全公司在内的第三方机构。"
"BrowserGate"网站进一步指出:"用户从未被询问,也从未被告知。LinkedIn的隐私政策中对此只字未提。由于LinkedIn掌握每位用户的真实姓名、雇主及职位信息,其扫描对象并非匿名访客,而是经过实名认证、来自特定公司的个人。"
对此,LinkedIn否认了部分指控,但对其余内容未予回应。
LinkedIn在一份声明中表示:"这一指控完全是无中生有,如同纸牌屋一般不堪一击。我们确实在隐私政策中披露了扫描浏览器扩展的行为,目的是检测滥用行为并维护网站稳定性。"
然而,当被追问是否仅将该数据用于上述目的时,LinkedIn并未作出回应。
指控的核心人物自称史蒂文·莫雷尔(Steven Morrell,非其真实姓名,本人要求不予公开)。他所代表的公司也有多个名称,包括Teamfluence和Fairlinked。
莫雷尔表示,LinkedIn收集的数据涉及敏感细节,甚至可能被用于推断用户的宗教信仰和政治倾向,这可能违反欧洲隐私法规。但他同时强调,他并非断言LinkedIn确实在使用这些数据进行上述分析,而只是指出其存在这样做的可能性。事实上,类似的情况在几乎所有大型科技公司中都普遍存在。
值得注意的是,莫雷尔本人并非完全中立——他与LinkedIn之间在德国存在法律纠纷,他指控LinkedIn违反了欧盟相关规定,并以不当理由将他及其他用户封禁。LinkedIn则反指莫雷尔等原告通过其插件违反了平台服务条款。上月,慕尼黑一名法官支持了LinkedIn的立场,驳回了原告申请临时禁令的请求。
Info-Tech研究集团研究总监萨法亚特·穆罕默德(Safayat Moahamad)指出,如此深度的数据采集行为,确实可能在欧盟及英国的合规层面引发争议。
他表示:"当平台能够合理地将组织层面的政策执法行为与消费者保护及监管合规挂钩时,欧洲法院很可能倾向于支持平台限制自动化数据采集的立场。"
网络安全顾问、FormerGov执行董事布莱恩·莱文(Brian Levine)建议,企业CIO应借助此次事件——即便最终证明指控并不属实——重新审视并优化其数据战略与隐私政策。
他表示:"假设BrowserGate的指控属实,LinkedIn用户应尽量减少浏览器所暴露的可识别、可追踪或敏感数据,企业在事实核实之前,应将LinkedIn视为潜在的高风险网络环境。即便BrowserGate的说法有所夸大,浏览器指纹识别也是互联网上真实存在且广泛应用的技术手段。应像对待任何第三方数据采集方一样对待LinkedIn——过去人们普遍认为LinkedIn是安全的,但这一假设或许需要重新评估。"
莱文还建议IT高管"默认LinkedIn有能力绘制出企业的技术栈全貌"。如果相关指控属实,LinkedIn甚至可能推断出企业员工使用的SaaS工具、依赖的竞争对手产品、员工使用的求职工具,以及员工在使用与政治或宗教相关的浏览器扩展情况。
他建议,IT部门应考虑在敏感网络中屏蔽LinkedIn,或要求仅通过虚拟桌面基础架构(VDI)访问,同时采用浏览器隔离技术。部分企业甚至可以考虑专门使用一个独立的隔离浏览器来访问LinkedIn,或使用沙盒化浏览器会话,例如Browserling或其他云隔离浏览器。
Q&A
Q1:LinkedIn被指控的BrowserGate事件是什么?
A:BrowserGate是由一家欧洲小型公司发起的维权行动,指控LinkedIn在用户不知情的情况下,通过隐藏代码扫描用户电脑上安装的软件,并将相关数据传输至其服务器及第三方机构。LinkedIn否认了部分指控,称扫描浏览器扩展的行为已在隐私政策中披露,目的是检测滥用和维护网站稳定,但对数据是否仅用于此目的未予回应。
Q2:LinkedIn收集的数据可能涉及哪些隐私风险?
A:据指控方称,LinkedIn收集的数据可能涵盖用户安装的软件信息,并有可能被用于推断用户的宗教信仰和政治立场。安全专家指出,如果指控属实,LinkedIn甚至可以推断出企业的技术栈、员工使用的SaaS工具及求职工具等敏感商业信息,这在欧盟隐私法规层面可能存在合规风险。
Q3:企业CIO应如何应对LinkedIn潜在的数据隐私风险?
A:网络安全顾问布莱恩·莱文建议,企业CIO应将LinkedIn视为潜在的第三方数据采集方,考虑在敏感网络中屏蔽LinkedIn,或仅通过VDI访问。同时可采用浏览器隔离技术,或使用Browserling等沙盒化浏览器专门访问LinkedIn,并建议员工减少浏览器所暴露的可识别和敏感数据。
