Twitter就如何跟蹤“GDPR時代”的使用者資訊接受愛爾蘭官方調查

Twitter正在接受愛爾蘭隱私保護主管部門的調查，緣由是Twitter拒絕向用戶提供當“使用者點選Twitter上的連結時，公司是如何追蹤使用者的上網資訊的”相關資訊。

當Twitter使用者在推文中傳送電子連結時，Twitter會將自己的“連結縮短服務（Link-shortening Service）— t.co”應用在這些連結中。Twitter對外宣稱，這個功能能夠允許平臺計算某個連結的點選次數，並且該功能還能夠通過“道奇鏈（ dodgy link）”來抵禦惡意程式的攻擊。

然而，在英國大學學院工作的隱私研究學者Michael Veale對此表示了質疑，當人們點選“t.co”時，Twitter會獲得更多的資訊，並且平臺很可能利用這些資訊來跟蹤正在上網搜尋的人們，其方式是將Cookie留在使用者的搜尋瀏覽器上。

2018年5月，GDPR在歐盟範圍內開始正式生效，該法律規定了資料所有者有向平臺要求獲取其個人資料的權利，因此veale有權要求Twitter向他提供其持有的所有個人資料。

Twitter拒絕提供當Weale點選其他人推文的連結時其記錄的資料資訊，並宣稱提供該資訊公司需要付出“不合比例（Disproportionate effort）”的努力。因此，今年8月，Veale向愛爾蘭資料保護委員（The Data Protection Commission）會進行申訴，在本週週二時，委員會向Veale進行了回覆，並向其告知委員會正在對Twitter進行調查。與其他大型科技企業一樣，Twitter的歐洲業務總部設在都柏林，這就是為什麼Veale在愛爾蘭進行申訴的原因。

監管機構在給Veale的回覆信中表示，“針對您的申訴，資料保護委員會已經向Twitter啟動了正式的法定調查。本次調查將會檢查Twitter是否履行了與您申訴標的有關的義務，並且確定Twitter在這方面是否已經違反了GDPR或者愛爾蘭資料保護法案的有關條款。”

愛爾蘭資料保護主管部門在回覆中還談到該申訴很有可能會由新的歐盟資料保護理事會所接管，該理事會會協調各歐盟理事國國家層面的資料保護部門在GDPR執法方面的努力，因為在veale的申訴當中還涉及到了“資料跨境傳輸和處理”。

當Twitter告知Veale公司將不會交出其持有的通過t.co連結而跟蹤Veale上網的資訊時，平臺宣稱是GDPR允許其實施該不合比例的行為。然而，Veale告知Twitter，公司對法律條文的理解是有誤的，並且這種豁免是不能夠用來限制所謂的“訪問請求的”，例如Veale的網路訪問行為。

這應該是針對Twitter的第一起適用GDPR的法定調查。Veale最近對Facebook進行了類似的要求，但Facebook同樣拒絕了Veale的請求，同Twitter不同的是，Facebook已經成為了GDPR多次調查的主體。

Veale表示，“那些看起來令人毛骨悚然的資料通常是根據那些網路瀏覽資料所提煉出來的，網際網路平臺公司非常樂意來儲存並且分析這些訪問請求資料。”

Veale表示Twitter肯定記錄了使用者點選連結的時間，並且有可能記錄了使用者所用上網裝置的各種資訊。Veale還補充道Twitter確定使用者大致的地理位置在技術上面是可行的——Twitter的隱私政策中說明了當人們點選網上廣告的連結時，廣告服務商是可以收集使用者的上網IP的。但是目前尚不清楚Twitter要如何使用其通過t.co service收集到的使用者資訊。

“使用者有權瞭解網際網路平臺如何利用其資料”，Veale表示。

如果發現Twitter違反了GDPR的有關條款，它們將會面臨高達繳納2000萬歐元或者是公司全球年收入的4%（兩者取高者）的罰款。Twitter2017年的總收入是24億美元，所以理論上來講，對Twitter適用的GDPR罰金會達到9600萬美金，儘管需要愛爾蘭資料保護機構的主動出擊，但是這個處罰也是令人震驚的。

Twitter對於該調查拒絕發表評論。

❤❤原文網址：

http://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/

（供稿者：安錦程   編輯：張雲丹）

宣告：本文來自安全內參，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。