微软旗下的 LinkedIn 在用户访问其网站时,会秘密扫描用户电脑上安装的浏览器扩展程序。这一行为在用户毫不知情、未经同意的情况下进行,旨在收集用户的敏感个人信息和其所在公司的商业情报,构成大规模的企业间谍活动和数据泄露。LinkedIn 不仅利用这些数据来监控竞争对手,还用以威胁使用第三方工具的用户,并向欧盟监管机构隐瞒其真实行为。
大规模数据泄露与企业间谍行为
每当用户访问 LinkedIn.com 时,网站中隐藏的代码就会自动扫描其电脑上安装的软件,并将收集到的信息发送给 LinkedIn 及其合作的第三方公司。由于 LinkedIn 掌握用户的真实姓名、雇主和职位,这并非匿名扫描,而是针对特定公司特定员工的精准数据搜集。
LinkedIn 的扫描主要关注两类信息:
个人敏感数据: 扫描旨在识别用户的宗教信仰(如穆斯林用户专用工具)、政治倾向、健康状况(如为神经多样性用户设计的工具)以及求职状态。LinkedIn 扫描了超过 500 种求职工具,这会暴露那些正在秘密寻找新工作的用户,而他们的现任雇主就在同一个平台上。根据欧盟法律,此类数据属于禁止处理的范畴,而非仅仅是需要监管。
企业商业机密: LinkedIn 扫描超过 200 种与其销售工具直接竞争的产品,如 Apollo、Lusha 和 ZoomInfo。通过了解特定公司的员工正在使用哪些竞品,LinkedIn 能够描绘出其竞争对手的客户版图,这无异于在用户不知情的情况下窃取数千家软件公司的客户名单。
这种行为在我们研究过的所有司法管辖区都是非法的,甚至可能构成刑事犯罪。
欺骗监管机构并威胁用户
LinkedIn 的行为不仅侵犯用户隐私,还公然挑战监管法规。
2023 年,欧盟依据《数字市场法案》将 LinkedIn 指定为受监管的“看门人”,要求其向第三方工具开放平台。LinkedIn 的应对措施是:
- 提供虚假合规方案: 它向欧盟委员会提交了两个功能极其有限的 API 接口作为“合规”证据,但同时隐藏了其内部使用的、处理能力强上百万倍的核心 API(名为 Voyager)。
- 扩大秘密监控: 与此同时,LinkedIn 反而加强了对第三方工具的监控。其扫描列表从 2024 年的约 461 个产品激增至 6,000 多个。欧盟要求其开放,LinkedIn 却建立了一个监控系统,以发现并惩罚使用这些工具的用户。
更严重的是,LinkedIn 已经开始利用这些秘密扫描获得的数据,向使用第三方工具的用户发出威胁。
隐形的第三方追踪
除了直接扫描,LinkedIn 还通过多种隐形技术在用户不知情的情况下收集信息。
- 它会加载一个来自美以网络安全公司 HUMAN Security 的隐形追踪元素(零像素大小),在用户浏览器中悄悄设置 Cookie。
- 同时,来自 LinkedIn 自家服务器和谷歌的脚本会在每次页面加载时静默运行,对用户行为进行指纹识别和追踪。
所有这些数据收集行为都经过加密,且在 LinkedIn 的隐私政策中只字未提。