ハクソク

世界を動かす技術を、日本語で。

LinkedInのプロフィール訪問者リストはユーザーに属する、とNoybが主張

11時間前原文(theregister.com)

概要

  • LinkedIn のプロフィール閲覧者リストに関する GDPR(EU一般データ保護規則) の適用問題
  • 無料ユーザーと有料ユーザー間の データアクセス権限の違い が焦点
  • Noyb が無料ユーザーのデータアクセス権を主張し、法的議論に発展
  • Article 15 が「自己データへの無料アクセス権」を保証
  • 今後、他サービスにも影響を及ぼす可能性

LinkedInプロフィール閲覧者リストとGDPR Article 15

  • LinkedIn ではプロフィール閲覧者リストの表示内容が 有料ユーザー無料ユーザー で大きく異なる
    • 有料ユーザー: 過去365日分 の詳細な閲覧者情報(氏名・職種・企業名など)を閲覧可能
    • 無料ユーザー: 限定的な情報 (例:「12人がホームページ経由で閲覧」など)のみ表示
      • 詳細を見ようとすると プレミアム登録ページ に誘導される仕組み
  • 無料ユーザーが GDPR Article 15 に基づき自分の個人データの開示を要求
    • LinkedInは「他者の権利保護」を理由に開示を拒否
  • Noyb (none of your business)がこの事例に介入し、 データ主体 の権利を主張

GDPR Article 15の論点とLinkedInの対応

  • Article 15は「 自分に関するすべての処理済みデータ」へのアクセス権を保証
    • 有料サービスで見られる情報も 請求すれば無料で開示されるべき という主張
  • LinkedIn側は「プレミアムユーザーだけが閲覧できるわけではない」「プライバシーポリシーでGDPRを満たしている」と説明
    • 実際には無料ユーザーは詳細閲覧不可であり、説明に 事実誤認 があると指摘
  • Noyb弁護士 は「有料ユーザーに情報を提供している以上、無料ユーザーにも開示しなければ論理が破綻する」と主張
    • 唯一の例外は「他者の権利や自由を著しく侵害する場合」のみ

今後の影響と法的な前例

  • データアクセス権企業のビジネスモデル の境界線が争点
  • 判例ができれば、 銀行の明細書開示 など他業種にも波及する可能性
  • 有料サービスで提供されるデータも、「 本人請求なら無料で開示が必要」という方向性
  • Noyb は「この事例が明確な法的前例になることを望む」とコメント

まとめ

  • LinkedIn の閲覧者リスト問題は、 個人データの所有権企業の収益モデル のバランスが問われる事例
  • GDPR Article 15 は「自分のデータは無料で入手できる権利」を保証
  • 今後の裁判結果が、 EU全体の個人情報取り扱い に大きな影響を与える可能性

Hackerたちの意見

いいね!この記事ではLinkedInの広報の声明について触れてるね。「その声明の最初の部分は嘘だよ。上のスクリーンショットを見ればわかるけど、その部分の信頼性は明らかにないから、私たちはその後半を評価する時間を無駄にすることはなかった。」

彼らは評価しないと言ってるけど、実際には記事の残りの部分がこの後半、つまりLKプライバシーポリシーの第15条を正確にカバーしてるんだよね。

技術的に正確に言うと、たとえ1人の非プレミアムメンバーが何らかの理由で自分のプロフィールを見た人を見れるなら、「プロフィールを見たのはプレミアムメンバーだけ」というのは間違いだよ。だから、スクリーンショットからその最初の部分が間違っているとは言えないんだ。

でも、その発言は嘘じゃなかったよね?俺はLinkedInの有料会員じゃないけど、自分のプロフィールを見た人はわかるよ。

本当に、これがレガシーメディアで一番恋しいところなんだ。ジャーナリストたちが、明らかに間違ってるか嘘の政治家の発言を批判なしにそのまま伝えることが多すぎる。The Registerがこういう姿勢を持ってるのはすごく新鮮だね。

これが馬鹿げた部分だね。> LinkedInは、データ保護が優先されるという理由でリクエストを拒否した。つまり、支払いがデータ保護より優先されるってことだよね。

「有料顧客の身元についてはもっと自信があるから、その場合はプライバシーリスクが少ない」とか言えるのかな?彼らは負けるべきだと思うけど、誰か彼らの側の良い主張を考えられる人いるかな?特にデータ法があるヨーロッパの文脈では、「彼らのウェブサイトだから好きにすればいい」っていうのはアメリカの一般的な見解だけど、それだと何を話す余地があるのか分からない。

これ大好き!プライバシーに焦点を当てた非営利団体がテック企業を困らせるのはもっと増えてほしい。ここには強力な主張があるし、これを考えた人は自分に満足してるだろうね、当然だけど。

これはすごくヨーロッパ的な考え方だね。生活を難しくすることが価値ある追求だって。LinkedInは最悪だし、この機能も嫌い。でもだからこそ、ほとんど使わないし、彼らにお金を払うこともないんだ。

その論理がよくわからないな。訪れたプロフィールのリストは、自分のデータのように感じるんだけど、ターゲットプロフィールの所有者のデータじゃないよね。その論理で言ったら、GDPRを使って自分のサイトを訪れた人のブラウジング履歴を取得できるの?法律の専門家じゃないけど、GDPRは自分のデータのコピーを取得することについてであって、他人のことじゃないと思ってた。

その論理でいくと、彼らはプレミアムユーザーにあなたのデータを売るべきじゃないよね。どちらにしても、LinkedInは間違った立場にいるよ。

もっと言うと、もし自分がブログスポットのサイトを持っていて、自分のサイトを訪れたユーザーのリストをGDPRで取得するような感じだね(Googleが訪れたすべてのユーザーを記録して、その訪問を特定のあなたに関連付けていると仮定して)。LinkedInはあなたのプロフィールを訪れたすべての人を記録して、そのデータをユーザーの記録に保管している。そして、すでにそれをあなたに売ってる。主張は、あなたにはそのデータに対する権利があるってこと。LinkedInは、このデータはあなたのプロフィールを訪れる人のプライバシーを守るために保護されるべきだと主張しているけど、本当にそう思っているなら、プライバシーを損なうような形でそれを売ることはないはずだよね。

LinkedInの問題は、訪問者のデータだと言いながら、それを開示できないと主張する一方で、LinkedInのデータだとも言って、アクセスを売ろうとしているところだよね。

もしGoogleが私にアプローチして、サイトを訪れた人の身元を全部見れるChromeプレミアムを提供してくれたら、今こんな話はしてないと思う。

LinkedInの運営方法や文化にはあまり好きじゃないけど、ユーザーが自分が見ているものが今まで以上に見られていることに気づいたらどうなるんだろう?人々はブラウジング用に偽アカウントを作るのかな?そういう風になるべきかもしれないけど、「見ているもの(全体像ではなくても)が誰かに見られている」というのは面白いダイナミクスだよね。

逆パノプティコンみたいな感じだね。考えれば考えるほど恐ろしい概念だよ…

簡単だね、プロフィール閲覧を隠すオプションを売ればいいんだよ。

これってデーティングアプリでもあることじゃない?

ここでこの質問をしようと思ってたんだけど、結局得られるのは自分にスワイプした人のIDくらいだよね。それを使って何かできるわけじゃないし、デーティングサイトのAPIを逆アセンブルして直接アクセスしない限り、プロフィールにはアクセスできないし…。アプリ側はデバイス認証やGoogle SafetyNetを使ってそれを防ぐかもしれないしね。(APIに必要な認証キーを簡単に取り出すことはできないし。)

「GDPRは、あなたが無料のウェブサイトで設定したウェブページを訪れた人の個人情報を誰かに共有することを要求する」っていうのがよく分からない。どうしてそれがあなたのデータで、訪問者のデータじゃないの?それって、現状よりGDPRに違反してるように思えるけど?もし私がうっかりあなたのプロフィールをクリックしたら、あなたは私の名前や雇用主を知る権利があって、それがあなたのデータになるの?「GDPRは良い、アメリカのテクノロジーは悪い!」っていう視点以外では全く意味が分からないな。

ここでのケースはちょっと違うと思う。例えば、あなたのサブスタックページの場合はそうかもしれないけど、ここでの「プロフィール」は単なるウェブページ以上のもので、個人情報が含まれてるんだ。これは公にされてるけど、法律的にはあなたの財産だからね。だから、これに関するやり取りは第15条に該当すると思う。LinkedInがこの機能を全ユーザーに提供することを強制されるなら、個人的には素晴らしいと思う。消費者にとっては勝利で、相互関係の価値を搾取して支払いを促すことには逆風だよね。

同意するよ。このプロフィールデータが誰のもので、LinkedInのものでも見てる人のものでもないっていう主張がよく分からない。自分のウェブサイトが検索結果に出てるからって、Googleから検索クエリデータを無料でもらえる権利があるの?

あなたのデータとその人のデータ、両方のことだよね。(前のコメントからコピーしたやつ)C-579/21の監査ログに関する件にすごく近いと思う。あの時、CJEUは監査ログがあなたとその行動をした人の個人データだと判断したんだ。あのケースでは、その人の名前や正確なタイムスタンプを隠すことは許可されたけど、今回はLIがその情報を同じ人に売ってるから、「他人を守る」ってのはちょっと説得力がないよね。

デーティングアプリも同じことやってるよ。Tinderのプレミアムプランの大きな売りの一つは、自分にスワイプした人が見れることなんだ。でも、LinkedInよりもTinderユーザーとチャットを始めるのはずっと難しいから、リスクは少ないよね。プロフィールIDが分かっても、アプリ内でそのプロフィールを開いてスワイプしないと会話は始まらないから、意味ないよ。

これって全てのソーシャルネットワークに当てはまるんじゃない?それともLinkedInが無料でティーザーを見せて、詳細は有料だから?

もしMetaがどのユーザーがどのユーザーを訪れたかのリストを持ってて、それを内部で使ってるって意味なら?そしたらMetaは、プライバシーを守るために誰が訪れたかは教えられないって主張できるよね。(LinkedInはそのデータを売ってるから、あんまり気にしてないみたいだけど)

ちょっと待って… LinkedInはユーザーが共有するために記入した公開プロフィールを共有したんだよね。誰かがそのプロフィールを見た。じゃあ、誰がそのプロフィールを見たかが「個人データ」ってどういうこと?もし自分の履歴書をウェブサイトに載せたら、ISPは誰が自分のウェブサイトを訪れたか教えなきゃいけないの?(ログには技術的データは載ってるけど、見てる人の名前は分からないよ。)

個人データっていうのは、自分に関連するデータのことだよね。自分に関連するのは、プロフィールを見たユーザーのリストだと思う。これはC-579/21にすごく近いと思うけど、あれは監査ログについてのもので、CJEUは監査ログが自分とその行動をした人の個人データだと判断したんだ。あのケースでは、その人の名前や正確なタイムスタンプを検閲することは許可されたけど、今回のケースではLinkedInがその情報を同じ人に売ってるから、「他の人を守る」っていうのはかなり薄っぺらいよね。

そういうことって結構あるよね。自分が買ったもののリストとか。まあ、物自体は個人データじゃないけど、その関係性がそうなんだよね。