日本的rikunabi丑闻表明了隐私法漏洞的危险 - eff

2021-05-12 12:32:34

Warning: Can only detect less than 5000 characters

该战略涉及三名球员。前两个是招聘职业和招聘通讯。招聘职业是运营Rikunabi,求职网站的公司。招聘沟通是一家营销和广告公司,招聘职业,分包为创建和提供算法分数。第三名球员是购买得分的人:Rikunabi的客户,如丰田汽车公司。

招聘职业生涯C,了解访问和使用Rikunabi网站的用户。这包括他们的真实姓名,电子邮件地址和其他个人数据,以及rikunabi上的浏览活动。例如,一个用户的个人资料可能包含有关他们搜索的公司的信息,他们研究了哪些公司,以及他们对最感兴趣的行业。所有这些信息都与Rikunabi cookie ID相关联。为了创建算法分数,招聘与招聘通信Rikunabi用户的浏览历史记录和活动链接到他们的rikunabi cookie ID,省略真实姓名。

与此同时,丰田等客户公司在自己的网站上接受了工作申请。每个客户公司都收集了申请人的法律姓名和联系信息,并分配了每个申请人一个独特的申请人ID。所有这些信息都与公司雇主Cookie ID相关联。对于评分工作,每个客户公司指示申请人采取网络调查,该调查旨在允许招聘通信,直接收集与他们联系的雇主Cookie ID和申请人ID。通过这种方式,招聘通信能够通过客户公司收集申请人的rikunabi饼干和分配给申请人的饼干。

招聘通讯以某种方式链接了这两套标识符,可能是通过使用cookie同步(一种Web跟踪器用于将Cookie与彼此链接的方法并组合那些公司对其他公司可能拥有的数据),所以它可以将他们的rikunabi浏览活动与申请人ID相关联,并单一单独。

通过链接数据库,招聘通讯将数据放在工作中。它培训了机器学习模型来查看用户的rikunabi浏览历史记录,然后预测该用户是否会接受或拒绝任何特定公司的工作要约。

招聘通信随后将与申请人IDS相关联的这些分数回到客户公司。由于每个客户都有自己的数据库将其申请人ID链接到真实身份,因此客户公司可以轻松地将他们收到的分数与招聘员工的招聘申请人的真实名称联系起来。与rikunabi相信他们的数据的求职者?如果没有他们的知识或同意,该网站的运营商及其姊妹公司与Rikunabi的客户合作创建了一个系统,这些系统可能会因以不准确地预测他们对他们感兴趣的工作或公司而造成的工作。

未经事先同意,APPI禁止业务分享用户的个人数据。因此,如果招聘职业生涯,则需要涉及申请人的名称的分数,因此需要以这种方式获得用户同意处理其信息。

如果公司本身不能易于与其他数据集识别人员,则APPI不会将Cookie或类似的机器生成的标识符视为个人数据。因此,招聘沟通是通过仅提供与从名称和其他个人标识符断开连接的数据,系统地未缩写以抵消其他信息来识别个人。因此,在APPI下,招聘通信未收集,处理和提供任何个人数据,并且无需让用户同意计算和提供对客户公司的算法分数。

可以创建此数据洗涤方案,以确保整个计划在技术上是合法的,即使没有用户的同意。但随着招聘职业认识,这些公司公司可以轻松地将与申请人的实名单联系在一起与申请人的真实姓名,日本数据保护机构,个人信息保护委员会,发现它从事“非常不恰当的服务,这是遏制精神的服务法律,“并命令公司改善隐私保护。

在丑闻之后,他在2020年6月修正了。当经修订的法律于2022年初生效时,它将需要传输Cookie或类似的机器生成的标识符的公司以预先通过与收件人具有的其他信息组合这些数据来确认数据的接收者。这是这种情况时,新的Appi需要公司转移此类数据,以确保收件人获得用户'事先同意收集个人数据。 Rikunabi的计划将违反2020修正案,除非招聘通信,客户可以结合他们提供的数据,这些数据可以将其提供的数据组合在一起,他们在转移算法分数之前与客户确认,他们在获得用户的先前同意收集私人的算法信息。

但即使在2020年修正案之后,APPI也不会将cookie作为个人数据分类为个人数据,与通常与他们经常关联的行为数据的档案相结合。这是个错误。 Cookie和类似的机器生成的标识符(如移动广告ID)是启用广泛的在线跟踪和分析的Linchpins。 Cookie用于将不同网站的行为链接到单个用户,允许跟踪器将人生人生的大量连接到单个配置文件中。仅仅因为cookie没有直接链接到一个人的真实身份,不会使配置文件不那么敏感。并且由于数据经纪人行业,饼干通常可以与相对容易的真实身份联系起来。扭转的“身份解决方案”服务提供商出售跟踪器能够将假匿名Cookie ID链接到移动电话,电子邮件地址或实名的能力。