12月15日，著名約會交友應用Grindr被挪威數據保護局(DPA)罰款650萬歐元(約合人民幣4963萬)，原因是Grindr“嚴重”違反GDPR規則，未經用戶明確同意向廣告商出售位置、IP、年齡等用戶個人數據。

Grindr未經用戶明確同意出售敏感個人信息

挪威DPA國際部負責人Tobias Judin解釋，“我們認為，Grindr在沒有法律依據的情況下向第三方披露了用戶數據并用于廣告。這與GDPR的‘有效同意’要求相違背。”

用戶被迫同意該公司的隱私政策，但隱私政策中沒有詢問用戶是否同意將其數據用于廣告等行為。這些數據包括用戶GPS位置、IP地址、廣告ID、年齡和性別。由于這是一款為性少數群體提供約會的應用程序，這意味著用戶的性取向數據被曝光。

調查起源于挪威消費者委員會在2020年向Grindr提出訴訟，稱其正積極向多個第三方出售用戶敏感信息。

挪威DPA起初向Grindr開出了860萬英鎊的罰單，但在Grindr提供相關財務細節并更改應用內的權限許可后，DPA將這一數字降到了650萬歐元。但該數字依然是挪威DPA開出的最大的罰單。

Grindr現在有三周時間來決定是否發起上訴。

Grindr，來源：InfoSecurity

挪威DPA的罰款決定得到了歐洲消費者組織(BEUC)的支持。BEUC的副總干事Ursula Pachl表示。"Grindr非法利用和分享其用戶的敏感信息，用于定向廣告。如今的個性化廣告行業全天候跟蹤和分析消費者的行為和數據，這種商業模式顯然違反了歐盟的數據保護規則，損害了消費者的利益。Grindr是倒下的第一張多米諾骨牌，我們希望當局開始對其他公司處以罰款，因為這類行為已經充斥著廣告技術行業。”

歐盟更加積極地執行GDPR

多種跡象表明，監管機構正對GDPR采取更嚴格的執法。今年9月，WhatsApp因未履行GDPR透明度義務而被愛爾蘭數據保護委員會(DPC)罰款2.25億歐元;而亞馬遜則在7月因涉嫌未依法處理個人數據被罰款8.866億美元。

法律公司Cordery Compliance合伙人喬納森·阿姆斯特朗表示，“我認為該案件證實了我們觀察到的幾個趨勢。首先，監管機構更加積極地執行數據保護法，僅GDPR的罰款現在就超過了13億歐元，在未來幾周至少還有1億歐元的罰款被繳納。其次，透明度是數據保護執法的一個關鍵主題。當GDPR出臺時，一些人說這一切都是為了安全，現在證明了這是錯誤的。監管機構地目的是要清楚他們收集的數據，他們如何使用這些數據以及他們與誰共享這些數據。第三，這也顯示了隱私保護者的力量。馬克斯·施雷姆斯是最初投訴的幕后推手之一，他主導過很多隱私保護運動。當前隱私保護者和訴訟人正變得越來越突出，并且這種趨勢將一直持續下去。”

在歐盟對數據安全嚴加監管的同時，中國也相繼出臺《數據安全法》等監管法案。12月14日，中國消費者協會還對主流APP進行了賬號注銷和自動化推薦退訂的測評。

在其發布的《50款APP賬號注銷及自動化推薦退訂測評報告》，40%的受排查APP存在不能順利注銷帳號問題;10%的受排查APP存在不能關閉自動化推薦，或關閉方式過于隱蔽的問題。

原文鏈接：https://www.infosecurity-magazine.com/news/grindr-fined-user-data-explicit/