Grindr 因未經明確同意出售用戶數據而被罰款 650 萬歐元

約會應用程序 Grindr 因未經廣告商明確同意向廣告商出售用戶數據而被罰款 650 萬歐元（550 萬英鎊）。

罰款是由挪威數據保護局 (DPA) 因“嚴重”違反 GDPR 規則而發出的。這是因為 Grindr 在未經用戶明確同意的情況下與第三方共享高度敏感的“特殊類別”數據，這是法規的要求。這包括 GPS 位置、IP 地址、廣告 ID、年齡和性別。此外，第三方知道用戶正在使用 Grindr，這是一款面向同性戀、雙性戀、跨性別和酷兒的約會應用程序，這意味著他們的性取向數據被暴露了。

用戶被迫同意公司的隱私政策，而沒有被特別詢問他們是否同意出于行為目的共享他們的數據。

挪威 DPA 國際部門負責人 Tobias Judin 解釋說：“我們的結論是，Grindr 在沒有法律依據的情況下向第三方披露了用戶數據用于行為廣告。”

650 萬歐元的罰款是挪威數據保護機構開出的最大一筆罰款。但是，在 Grindr 提供了有關其財務狀況的詳細信息并更改了其應用程序的權限后，這一數字從 860 萬英鎊減少了。但是，監管機構補充說，它尚未評估這種新的同意機制是否符合 GDPR。

Grindr 現在有三周的時間來決定是否發起上訴。

挪威 DPA 的決定受到消費者權益組織 歐洲消費者組織 (BEUC) 的歡迎。BEUC 副總干事 Ursula Pachl 概述：“Grindr 非法利用和共享其用戶信息用于有針對性的廣告，包括有關其性取向的敏感信息。現在是行為廣告行業停止 24/7 全天候跟蹤和分析消費者的時候了。這是一種明顯違反歐盟數據保護規則并傷害消費者的商業模式。現在讓我們希望這是第一張倒下的多米諾骨牌，希望當局開始對其他公司處以罰款，因為該決定中確定的侵權行為是標準的監控廣告技術行業做法。”

該案例是監管機構在過去一年左右對 GDPR 執法采取更嚴格方法的另一個例子。9 月，  WhatsApp 因 未能履行 GDPR 透明度義務而被愛爾蘭數據保護委員會 (DPC)罰款 2.25 億歐元，而亞馬遜因涉嫌 未能在 7 月份依法處理個人數據而 被罰款 8.866 億美元。

在談到這個故事，CEO和聯合創始人杰米·阿赫塔爾，  Cyber??Smart，說：“雖然GDPR已經有一段時間了，但我們已經看到了監管機構采取強硬態度只是在最近幾年。隨著世界各地的立法者開始效仿歐盟并起草自己的法規，現在是確保您的企業負責任地處理數據的最佳時機。”

Cordery Compliance律師事務所合伙人喬納森·阿姆斯特朗 (Jonathan Armstrong) 在當前 GDPR 執法趨勢的背景下反思此案  表示：“我認為此案證實了我們看到的幾個趨勢。首先，監管機構在執行數據保護法方面變得更加積極。僅 GDPR 罰款現在就超過 13 億歐元，我們知道至少還有 1 億歐元通過系統在接下來的幾周內。其次，透明度是數據保護執法的一個關鍵主題。當 GDPR 出臺時，一些人說這完全是為了安全——這證明這是錯誤的。組織需要清楚他們的數據正在收集，他們如何使用它以及他們與誰分享它。第三，它還顯示了活動家的力量。原始投訴背后的人之一，Max Schrems 擁有取得成果的隱私活動的真實記錄。活動家和訴訟當事人正變得越來越突出，這種趨勢也將繼續下去。”