近日，挪威数据保护部门（data protection authority ，DPA）通知同性恋约会应用程序Grindr，将对该公司处以1亿挪威克朗(约合1170万美元，965万欧元)的经济罚款，理由是该公司违反了《通用数据保护条例》(GDPR)的同意要求。

“Grindr拥有拥有来自200多个国家的1370万活跃用户，其中数千人在挪威。这些人的个人信息被非法分享给了许多第三方。”

来自挪威数据保护局的指控可以追溯到2018年，去年，挪威消费者委员会向DPA投诉称，主要面向同性恋和双性恋男性以及变性人的约会应用Grindr，在其免费应用中与广告合作伙伴共享用户的个人数据。

DPA称，这些第三方很可能会进一步共享信息。用户没有被特别询问他们是否同意向第三方披露，而且有关个人信息披露的信息对用户而言也不清晰或无法访问。Datatilsynet表示：“我们认为这违反了GDPR中的同意要求。”

Datatilsynet的主管比约恩·埃里克·托恩（Bjorn Erik Thon）说：“在这起事件中，我们警告要收取高额的违规费用，因为我们的初步结论是，违规情况非常严重。”

Thon补充说:“不允许用户对披露自己的个人信息行使真正的控制权。强迫用户同意某事，而没有很好地解释他们同意的商业模式，这不符合法律规定。”

DPA的初步结论是，Grindr需要获得同意才能分享这些个人数据。该组织还认为，Grindr是在处理一类特殊的敏感个人信息，因为使用这款应用可以反映出一个人的性取向。

在周一晚上发表的一篇博客中，Grindr的首席隐私官谢恩·威利(Shane Wiley)试图缓解这种担忧。

他说，该公司不会与广告商分享用户的确切位置、年龄或性别等数据。

Wiley表示:“我们仅分享基本信息：设备的移动广告ID (MAID)(用户在其移动操作系统中拥有完全控制权)、IP地址(与用户设备通信所需的地址)和设备细节，如制造商、型号和操作系统版本。”

在DPA做出最终决定之前，Grindr必须在2月15日之前提交对罚款通知的意见。

消费者委员会的投诉还提到了五个相关公司：MoPub（Twitter拥有），Xandr（以前为AppNexus），OpenX Software，AdColony和Smaato，它们违反了隐私法。这些案件仍由Datatilsynet处理。（本文出自SCA安全通信联盟，转载请注明出处。）