未经明确同意出售用户数据，交友应用Grindr被罚650万欧元

WOT全球技术创新大会2022，门票6折抢购中！购票立减2320元！

12月15日，著名约会交友应用Grindr被挪威数据保护局(DPA)罚款650万欧元(约合人民币4963万)，原因是Grindr“严重”违反GDPR规则，未经用户明确同意向广告商出售位置、IP、年龄等用户个人数据。

Grindr未经用户明确同意出售敏感个人信息

挪威DPA国际部负责人Tobias Judin解释，“我们认为，Grindr在没有法律依据的情况下向第三方披露了用户数据并用于广告。这与GDPR的‘有效同意’要求相违背。”

用户被迫同意该公司的隐私政策，但隐私政策中没有询问用户是否同意将其数据用于广告等行为。这些数据包括用户GPS位置、IP地址、广告ID、年龄和性别。由于这是一款为性少数群体提供约会的应用程序，这意味着用户的性取向数据被曝光。

调查起源于挪威消费者委员会在2020年向Grindr提出诉讼，称其正积极向多个第三方出售用户敏感信息。

挪威DPA起初向Grindr开出了860万英镑的罚单，但在Grindr提供相关财务细节并更改应用内的权限许可后，DPA将这一数字降到了650万欧元。但该数字依然是挪威DPA开出的最大的罚单。

Grindr现在有三周时间来决定是否发起上诉。

Grindr，来源：InfoSecurity

挪威DPA的罚款决定得到了欧洲消费者组织(BEUC)的支持。BEUC的副总干事Ursula Pachl表示。"Grindr非法利用和分享其用户的敏感信息，用于定向广告。如今的个性化广告行业全天候跟踪和分析消费者的行为和数据，这种商业模式显然违反了欧盟的数据保护规则，损害了消费者的利益。Grindr是倒下的第一张多米诺骨牌，我们希望当局开始对其他公司处以罚款，因为这类行为已经充斥着广告技术行业。”

欧盟更加积极地执行GDPR

多种迹象表明，监管机构正对GDPR采取更严格的执法。今年9月，WhatsApp因未履行GDPR透明度义务而被爱尔兰数据保护委员会(DPC)罚款2.25亿欧元;而亚马逊则在7月因涉嫌未依法处理个人数据被罚款8.866亿美元。

法律公司Cordery Compliance合伙人乔纳森·阿姆斯特朗表示，“我认为该案件证实了我们观察到的几个趋势。首先，监管机构更加积极地执行数据保护法，仅GDPR的罚款现在就超过了13亿欧元，在未来几周至少还有1亿欧元的罚款被缴纳。其次，透明度是数据保护执法的一个关键主题。当GDPR出台时，一些人说这一切都是为了安全，现在证明了这是错误的。监管机构地目的是要清楚他们收集的数据，他们如何使用这些数据以及他们与谁共享这些数据。第三，这也显示了隐私保护者的力量。马克斯·施雷姆斯是最初投诉的幕后推手之一，他主导过很多隐私保护运动。当前隐私保护者和诉讼人正变得越来越突出，并且这种趋势将一直持续下去。”

在欧盟对数据安全严加监管的同时，中国也相继出台《数据安全法》等监管法案。12月14日，中国消费者协会还对主流APP进行了账号注销和自动化推荐退订的测评。

在其发布的《50款APP账号注销及自动化推荐退订测评报告》，40%的受排查APP存在不能顺利注销帐号问题;10%的受排查APP存在不能关闭自动化推荐，或关闭方式过于隐蔽的问题。

原文链接：https://www.infosecurity-magazine.com/news/grindr-fined-user-data-explicit/