LinkedIn秘密掃描瀏覽器擴充功能 四億用戶隱私數據恐外洩

非營利組織Fairlinked近期發布調查報告，指控職業社群平台LinkedIn在未經用戶明確同意下，透過隱藏式JavaScript程式碼秘密偵測瀏覽器擴充功能，涉及超過6000種擴充程式數據。該行為可能導致全球4.05億用戶的政治傾向、健康狀況及求職活動等敏感資訊外洩，觸發隱私安全風暴。LinkedIn則否認不當行為，強調偵測技術僅用於防範自動化資料抓取，維護平台運作穩定性。此舉引發歐盟GDPR法規嚴格檢視，並牽動跨境數據傳輸合規性爭議，成為全球數位隱私治理關鍵案例。

瀏覽器偵測技術引發隱私爭議

Fairlinked的「BrowserGate」調查揭露，LinkedIn網頁內嵌的程式碼能無聲掃描用戶已安裝的瀏覽器擴充功能，涵蓋宗教辨識工具、政治傾向分析軟體及神經多樣性輔助程式等6000多種應用。由於LinkedIn帳戶與真實姓名、職位及雇主資訊深度關聯，這些數據可精準關聯至個人，甚至推測用戶的健康狀態或政治立場。更關鍵的是，平台同時偵測200餘款競爭對手工具如Salesforce、HubSpot，被質疑從事商業間諜行為。LinkedIn辯稱偵測僅針對「靜態資源URL」，用以識別違反服務條款的擴充程式，避免資料抓取影響網站穩定。然而專家指出，該技術本質屬「後台掃描」，與GDPR要求的「明確同意」原則背道而馳。2023年德國法院已駁回類似訴訟，但Fairlinked強調，此次調查揭露的數據規模與敏感性遠超以往案例，平台未提供透明化數據處理機制，已構成對用戶數位行為的系統性監控。

數據共享以色列網路軍事單位引關注

報告更觸及數據流向疑雲，揭露LinkedIn收集的用戶行為數據透過第三方公司HUMAN Security（前白ops）共享，而HUMAN Security於2022年與以色列企業PerimeterX合併。PerimeterX創辦團隊包含多位前以色列國防軍8200部隊（專責網路作戰的精銳單位）軍官，其背景引發對數據安全主權的深度憂慮。雖然HUMAN Security聲稱業務聚焦偵測數位詐欺，但其軍方淵源使跨境數據傳輸面臨GDPR嚴格審查。歐盟數據保護局（EDPB）去年已對類似跨境數據共享案開出高額罰單，要求企業證明數據處理符合「必要性」與「最小化」原則。此次事件中，LinkedIn未向用戶說明數據流向，更未取得針對性同意，違反GDPR第13條規定。資安專家指出，8200部隊背景企業常被用於國家級網路監控，數據若流入此類管道，恐使用戶敏感資訊成為國家安全分析的潛在素材，尤其在涉及政治傾向與健康數據時，風險更形複雜。

對勞動力市場與用戶隱私的潛在衝擊

調查特別點名509款求職輔助工具遭掃描，這些應用多由尋求轉職的專業人士使用。若LinkedIn將擴充程式使用行為與職業資料關聯，可能導致用戶在現任雇主不知情下暴露轉職意圖，嚴重影響職場信任關係。LinkedIn雖否認使用此數據推斷敏感資訊，但隱私權倡議團體「Access Now」指出，平台透過擴充程式掃描建立的用戶行為圖譜，已構成「數位行為監控」的新型態，遠超合理防範範圍。此問題在勞動力市場尤為敏感，例如醫療從業者若使用健康管理擴充程式，可能被推測職業健康狀況，進而影響就業機會。全球已有17個國家正研擬立法要求平台公開數據共享對象，如台灣《個人資料保護法》草案明確規範「第三方數據傳輸需經用戶單獨同意」。LinkedIn作為全球最大職場社群，其做法將成為行業風向標——若平台以「維護安全」為由擴大數據收集，將加劇用戶對數位身份的不安全感，甚至導致高素質人才轉向注重隱私的替代平台。目前Fairlinked已向歐盟執委會提交正式申訴，要求對LinkedIn展開全面調查，此案結果將決定未來職場社群平台的隱私標準。