LinkedIn पर पहचान सत्यापन करने पर कौन-कौन-सा निजी डेटा आगे चला जाता है

 (thelocalstack.eu)
5 पॉइंट द्वारा GN⁺ 2026-02-22 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • LinkedIn की पहचान सत्यापन प्रक्रिया तब पूरी मानी जाती है जब उपयोगकर्ता अपना passport और चेहरा फोटो जमा करता है, लेकिन वास्तविक डेटा LinkedIn को नहीं बल्कि अमेरिकी कंपनी Persona को भेजा जाता है
  • Persona passport फोटो, facial recognition के लिए biometric data, NFC chip data, device information और location data सहित बहुत बड़ी मात्रा में निजी डेटा इकट्ठा करती है
  • इस डेटा का AI training में उपयोग किया जाता है, और इसका कानूनी आधार ‘legitimate interest’ बताया गया है, इसलिए explicit consent के बिना processing की जाती है
  • Persona के 17 subprocessors में से 16 अमेरिकी कंपनियाँ हैं, और OpenAI·Anthropic जैसी AI कंपनियाँ passport और face data का विश्लेषण करती हैं
  • अमेरिकी CLOUD Act के तहत यूरोप के servers में रखा गया डेटा भी अमेरिकी सरकार की पहुँच में आ सकता है, इसलिए यूरोपीय उपयोगकर्ताओं की privacy की वास्तविक सुरक्षा सुनिश्चित नहीं होती

LinkedIn सत्यापन प्रक्रिया की वास्तविक संरचना

  • LinkedIn का ‘Verify’ बटन दबाते ही उपयोगकर्ता Persona Identities, Inc. (San Francisco स्थित) पर redirect हो जाता है
    • LinkedIn ग्राहक कंपनी है, और उपयोगकर्ता Persona के data processing का subject बन जाता है
    • ज़्यादातर उपयोगकर्ताओं को Persona के अस्तित्व का पता भी नहीं होता, फिर भी वे passport और face photo जमा कर देते हैं

Persona द्वारा इकट्ठा किया गया डेटा

  • पहचान सत्यापन प्रक्रिया में Persona निम्न जानकारी इकट्ठा करती है
    • नाम, passport की पूरी image, real-time selfie, facial geometry (biometric data)
    • NFC chip data, national ID number, gender, date of birth, email, phone number, address
    • IP address, device·browser information, language, location data
  • इसके अतिरिक्त ‘hesitation detection’, ‘copy-paste detection’ जैसी behavioral biometrics भी track की जाती हैं

तीसरे पक्ष के डेटा के साथ cross-check

  • Persona उपयोगकर्ता द्वारा दी गई जानकारी के अलावा सरकारी databases, credit agencies, telecom operators, utility companies आदि के साथ cross-verification भी करती है
    • यह सिर्फ साधारण identity check नहीं बल्कि background check के स्तर की data inquiry है

AI training data के रूप में उपयोग

  • privacy policy के अनुसार, अपलोड की गई passport images और selfies का उपयोग AI model training में किया जाता है
    • उद्देश्य अलग-अलग देशों के passports की पहचान बेहतर करना और सेवा में सुधार करना है
    • कानूनी आधार ‘legitimate interest’ है, इसलिए उपयोगकर्ता की explicit consent के बिना processing संभव है
    • GDPR के तहत यह मूल अधिकारों का उल्लंघन है या नहीं, यह स्पष्ट नहीं है

डेटा साझा करना और पहुँच रखने वाले पक्ष

  • LinkedIn को मिलने वाली जानकारी है: नाम, जन्म वर्ष, ID document का प्रकार, issuing authority, verification result, और blur की गई ID copy
  • Persona निम्न पक्षों के साथ भी डेटा साझा करती है
    • service providers और data partners, affiliates, potential acquirers, law enforcement agencies
  • 17 subprocessors की सूची में निम्न शामिल हैं
    • Anthropic, OpenAI, Groqcloud (data extraction·analysis)
    • AWS, Google Cloud, Snowflake, MongoDB जैसे infrastructure और database services
    • Stripe, Twilio जैसी payment·communication API providers
  • 17 में से 16 अमेरिका में और 1 कनाडा में स्थित हैं, और EU के भीतर कोई कंपनी नहीं है

CLOUD Act और data sovereignty का मुद्दा

  • Persona अमेरिका और Germany में data centers चलाती है, लेकिन चूँकि यह अमेरिकी कंपनी है, इसलिए इस पर CLOUD Act लागू होता है
    • अमेरिकी अदालतें विदेश में रखे गए server data तक भी कानूनी आदेश के जरिए पहुँच सकती हैं
    • Persona की policy में “law enforcement·national security purposes के अनुरोध पर data उपलब्ध कराया जाएगा” स्पष्ट लिखा है
    • इसमें gag order भी शामिल हो सकता है, इसलिए उपयोगकर्ता को इसकी सूचना न मिले

EU-US Data Privacy Framework की सीमाएँ

  • Persona के पास EU-US Data Privacy Framework (DPF) certification है
    • लेकिन यह Privacy Shield का विकल्प है, और इसकी कानूनी प्रभावशीलता Executive Order पर आधारित है
    • भविष्य में प्रशासन बदलने पर इसे वापस लिया जा सकता है
    • noyb जैसे privacy groups पहले ही इसके खिलाफ कानूनी चुनौती दे चुके हैं

biometric data के जोखिम और retention exception

  • Persona कहती है कि facial geometry data को verification पूरी होने के बाद या 6 महीने के भीतर delete कर दिया जाता है
    • लेकिन कानूनी आवश्यकता होने पर retention exception रखा गया है, इसलिए अमेरिकी अदालत के आदेश पर इसे अनिश्चित समय तक रखा जा सकता है
    • biometric data बदला नहीं जा सकने वाला unique identifier है, और लीक होने पर इसकी भरपाई संभव नहीं

कानूनी ज़िम्मेदारी और उपयोगकर्ता अधिकार

  • Persona की damages liability limit 50 डॉलर तक सीमित है
    • विवाद का समाधान केवल अमेरिकी arbitration body (AAA) के जरिए individual mandatory arbitration में ही संभव है
    • EU उपयोगकर्ताओं के लिए Irish law लागू होने की बात कही गई है, लेकिन CLOUD Act की प्राथमिकता के कारण वास्तविक सुरक्षा कमज़ोर है

उपयोगकर्ताओं के लिए सुझाए गए कदम

  • जो उपयोगकर्ता पहले ही verification पूरा कर चुके हैं, वे निम्न कर सकते हैं
    • data access request: idv-privacy@withpersona.com
    • deletion request: verification पूरी होने के बाद अनावश्यक डेटा हटाने की माँग
    • DPO संपर्क: dpo@withpersona.com पर AI training में उपयोग के खिलाफ आपत्ति दर्ज की जा सकती है
    • verification पर पुनर्विचार: साधारण badge से अधिक biometric privacy की अहमियत पर विचार ज़रूरी है

निष्कर्ष

  • LinkedIn की identity verification सिर्फ 3 मिनट में पूरी हो जाती है, लेकिन वास्तविक data flow समझने के लिए 34 पन्नों के कानूनी दस्तावेज़ पढ़ने पड़ते हैं
  • उपयोगकर्ता अपना passport, चेहरा, biometric data, credit record एक अमेरिकी कंपनी को सौंप देता है, और
    AI training, government access, और legal retention exceptions के जोखिम में आ जाता है
  • यूरोपीय उपयोगकर्ताओं का डेटा व्यवहारिक रूप से अमेरिकी कानूनी ढाँचे के अधीन चला जाता है
  • सिर्फ एक नीला badge पाने के लिए पूरी व्यक्तिगत पहचान सौंपने वाली संरचना बन जाती है

संबंधित पढ़ाई

2 टिप्पणियां

 
cherrycoder 2026-02-22

लगता है कि इसका इस्तेमाल अमेरिका के अंदर counterintelligence गतिविधियों में भी उम्मीद से कहीं ज़्यादा होता है
 
GN⁺ 2026-02-22
Hacker News की राय

  • Persona के CEO ने LinkedIn पर सीधे सफाई दी
    कहा गया कि व्यक्तिगत डेटा का AI ट्रेनिंग में इस्तेमाल नहीं किया जाता, पहचान सत्यापन के बाद बायोमेट्रिक जानकारी तुरंत हटा दी जाती है, और बाकी डेटा 30 दिनों के भीतर अपने-आप मिटा दिया जाता है
    असल में अक्सर ऐसा होता है कि legal team के शामिल होने पर दस्तावेज़ जरूरत से ज़्यादा व्यापक लिखे जाते हैं। वे वास्तविकता से कहीं अधिक अंधेरे लग सकते हैं, इसलिए ऐसी सफाई पारदर्शिता के लिहाज़ से मायने रखती है

    • अगर ऐसी बात कानूनी दस्तावेज़ों में नहीं दिखती, तो इसका कोई मतलब नहीं है। सिर्फ CEO की बात मानने के बजाय इसे दस्तावेज़ों में पुष्टि किया जाना चाहिए
    • नीति में साफ लिखा है कि “इसे कभी भी बदला जा सकता है”, तो फिर CEO की बात का क्या मतलब है, यह सवाल बनता है। असल में वे सिर्फ soft delete करके डेटा बचाकर भी रख सकते हैं
    • “pointing out” की जगह “claiming that” कहना ज़्यादा सही लगेगा। सार्वजनिक रूप से ग़ैरकानूनी तरीके से डेटा इकट्ठा कर मॉडल ट्रेनिंग में इस्तेमाल करने वाली कंपनियों के साथ रिश्तों को देखते हुए भरोसा करना मुश्किल है
    • legal team का बहुत ज़्यादा व्यापक भाषा इस्तेमाल करना इस बात का संकेत भी हो सकता है कि अंदरूनी रूप से कुछ स्पष्ट नहीं है, या डेटा इस्तेमाल की गुंजाइश खुली रखने का इरादा है। अगर सच में user privacy बचानी है, तो उसे कानूनी दस्तावेज़ों में लिखना चाहिए
    • यह अजीब है कि बायोमेट्रिक जानकारी server पर भेजी जाती है। समझ नहीं आता कि device के भीतर processing (on-device processing) क्यों नहीं होती। password की तरह सिर्फ hash+salt भेजने वाला ढाँचा ज़्यादा सुरक्षित नहीं होगा?

  • मैंने पहले LinkedIn के लिए अलग email address बनाकर साइन अप किया था, लेकिन account delete करते ही उस पते पर spam mail की बाढ़ आ गई
    मैं प्रयोग करके देखना चाहता हूँ, लेकिन भरोसा पहले ही टूट चुका है। मुझे यक़ीन है कि LinkedIn ने डेटा बेचा

    • यह विडंबना लगती है कि Mozilla ऐसे CEO को भर्ती करता है जिसकी एकमात्र online profile LinkedIn पर है। जो संगठन anti-surveillance की बात करता है, वह ऐसा चुनाव क्यों करता है?
    • LinkedIn का hacking history बहुत लंबा है। लगता है जैसे वे हट चुके users के डेटा से भी आख़िरी बूंद तक फायदा निकालना चाहते हैं
    • मेरे हिसाब से LinkedIn मूल रूप से information collection platform है। Microsoft ने इसे Skype की तरह खरीदा, यह भी उसी संदर्भ में दिखता है
    • पुराने LinkedIn का इतिहास email scanning, fake account creation जैसे समस्याग्रस्त अतीत से जुड़ा रहा है
    • LinkedIn मूल रूप से public profile platform है। जो जानकारी निजी रखनी हो, उसे वहाँ डालना ही नहीं चाहिए। spam से बचना मुश्किल है, और email filtering ही व्यावहारिक विकल्प है

  • नया account बनाते समय मुझसे पहचान सत्यापन अनिवार्य कराया गया। passport से सत्यापन करना पड़ा, और उसके बाद personal data record देखने पर भी लगभग कोई जानकारी नहीं मिली
    ad settings डिफ़ॉल्ट रूप से चालू थीं, और पूरा process बहुत असुविधाजनक था।
    यह company account था इसलिए मजबूरी में करना पड़ा, लेकिन decentralized alternative service की ज़रूरत बहुत तीव्र महसूस हुई

    • मौजूदा account access के लिए भी सत्यापन अनिवार्य किया जा रहा है। account delete करने या AI content उपयोग से मना करने के लिए उल्टे और ज़्यादा जानकारी जमा करनी पड़ती है, यह विरोधाभासी ढाँचा है
    • AI bot समस्या के कारण पहचान सत्यापन की ज़रूरत समझ में आती है, लेकिन privacy बचाते हुए trust बनाने का तरीका चाहिए। Persona CEO का LinkedIn जवाब भी देखने लायक है
    • ये सेवाएँ मनमानी इसलिए कर पाती हैं क्योंकि network effect है। users बंधे रहते हैं, इसलिए छोड़ना मुश्किल होता है, और वही शक्ति बन जाती है
    • Persona का Peter Thiel से जुड़ाव भी चिंता का कारण है। इसमें government surveillance के साथ जुड़ने का जोखिम है

  • Persona के ज़रिए पहचान सत्यापन करना आखिरकार सरकारी डेटा enrichment में योगदान जैसा लगता है
    Coursera, Wealthsimple, Lime जैसी बड़ी सेवाएँ पहले ही इस पर निर्भर हैं, इसलिए इससे बचना आसान नहीं है, लेकिन डेटा उपयोग पर कानूनी गारंटी ज़रूरी है
    Canada या Europe की तरह digital sovereignty पर चर्चा करने वाले क्षेत्रों को स्थानीय विकल्पों को बढ़ावा देना चाहिए

    • वास्तव में नौकरी, किराये, visa, electronic signature जैसी दैनिक प्रक्रियाओं में भी इससे बचना मुश्किल है
    • किसी ने तंज़ में कहा कि KYC platform की जगह तो “नरक” में होनी चाहिए

  • लगता है कि Persona के पास बड़े पैमाने पर personal data संभालने की भरोसेमंद क्षमता की कमी है
    संबंधित blog post: https://vmfunc.re/blog/persona

    • CEO और blogger के बीच की X(ट्विटर) बातचीत भी देखने लायक है। कहा गया कि यह hacking नहीं थी, बल्कि frontend source map leak था, जिससे internal variable names उजागर हुए थे
    • कुछ लोगों की प्रतिक्रिया थी कि यह पुराने internet दौर की याद दिलाने वाली शानदार पोस्ट थी
    • हालांकि यह तकनीकी टिप्पणी भी आई कि साइट Firefox memory leak पैदा करती है
    • यह चेतावनी भी थी कि “Continue” बटन दबाते ही अचानक music चलने लगता है

  • LinkedIn, Google, Facebook जैसे platforms की मूल संरचना यह है कि वे users को ही product की तरह बेचते हैं
    अगर कोई आपको target करने के लिए पैसे देता है, तो आखिरकार वह पैसा आपसे ही वसूला जाता है
    ऐसा ढाँचा लंबे समय में आर्थिक असमानता को और गहरा करता है

    • यह बात इतनी प्रभावशाली लगी कि privacy के महत्व को समझाते समय इसे उद्धृत करने का मन होता है। मैं खुद Google services इस्तेमाल करता हूँ, लेकिन हमेशा उनके business model को ध्यान में रखता हूँ
    • LinkedIn वास्तव में paid products बेचने वाला platform भी है। समस्या यह है that उससे भी उन्हें संतोष नहीं, इसलिए वे डेटा का और इस्तेमाल करते हैं
    • “कूल है और मुफ़्त है” इस वजह से सब इसका इस्तेमाल करते हैं, लेकिन उसके नतीजों की वास्तविक ज़िम्मेदारी लेने वाले बहुत कम लोग हैं
    • कुछ लोग LinkedIn पर इसलिए भी आते हैं क्योंकि वे target होना चाहते हैं। कंपनियों का job seekers को ढूँढना परस्पर लाभकारी ढाँचा भी हो सकता है। लेकिन inflation जैसी macroeconomic समस्याओं का दोष social media पर डालना अतिशयोक्ति है
    • अंत में यह नहीं भूलना चाहिए कि “आप ही product हैं”

  • LinkedIn अब Tiktok-जैसे दिखावटी SNS में बदल चुका है। “industry knowledge बनाना” जैसे बहाने के नीचे समय बर्बाद करने को वैध ठहराने वाला ढाँचा बन गया है
    वहाँ असली experts से ज़्यादा अपने personal brand पर जीने वाले लोग भरे पड़े हैं

    • ज़्यादातर users feed को लगभग देखते ही नहीं। वे इसे सिर्फ contact management या messaging के लिए इस्तेमाल करते हैं। feed बस noise है, इसलिए उसे नज़रअंदाज़ करना ही बेहतर है
    • मैं LinkedIn को one-way (write-only) चैनल की तरह इस्तेमाल करता हूँ, और इससे वास्तव में offline दुनिया में कई अच्छे संबंध बने हैं
    • अगर सिर्फ उन्हीं लोगों से connect करने की सख्त network policy रखी जाए जिनसे आप सच में मिले हों, तो feed कहीं ज़्यादा साफ़ रहती है

  • लेख में यह हिस्सा असरदार था कि “यूरोपीय passport स्कैन किया, लेकिन पूरा डेटा उत्तर अमेरिकी कंपनियों के पास चला गया”
    मुझे नहीं लगता कि LinkedIn को यूरोप-आधारित network कहा जा सकता है

    • शायद लेखक का मतलब “यूरोप के भीतर अपना network” था
    • यूरोप में तो Xing इस्तेमाल करना चाहिए, लेकिन वहाँ बहुत अकेलापन महसूस होगा
    • “Let that sink in” जैसी अभिव्यक्तियाँ GPT-जनित लेखन के निशान लगती हैं, इसलिए उन पर भरोसा करना कठिन है
    • यूरोपीय लोग LinkedIn का इस्तेमाल network effect की वजह से करते हैं। अमेरिकी-केंद्रित tech concentration बहुत बड़ी गलती रही है, और चीन की तरह घरेलू विकल्पों को बढ़ावा देना चाहिए

  • ऐसी privacy activism की ज़रूरत है। मैंने भी LinkedIn verification किया था, लेकिन लेखक द्वारा दी गई व्यावहारिक प्रतिक्रिया सूची बहुत प्रभावशाली लगी

  • हाल में मुझे लगातार “email प्राप्त नहीं हो रहा” वाला error message मिलता है। लेकिन वास्तव में email ठीक से आ रहा है
    बटन दबाने पर सिर्फ “कोई समस्या हुई” दिखता है, और paid user होने के बावजूद यह ठीक नहीं हो रहा
    support team ने कहा कि वे उसी पते पर email भेजेंगे, जिस पर समस्या बताई जा रही थी, जो हास्यास्पद लगा। ऐसी व्यवस्था फिर से decentralization की ज़रूरत महसूस कराती है

    • लगता है call center system जानबूझकर इतना जटिल बनाया गया है। निचले स्तर के कर्मचारियों के पास अधिकार नहीं होते, और वे बस ticket आगे बढ़ाते या विभाग बदलते रहते हैं
      phone system में AI voice recognition उल्टा और ज़्यादा असुविधाजनक लगता है। यह दशकों में जमा हुई राक्षसी संरचनात्मक जटिलता जैसा महसूस होता है
    • यह सुझाव भी दिया गया कि कहीं आप remote image loading block तो नहीं कर रहे। कई बार tracking pixel से यह मापा जाता है कि email प्राप्त हुआ या नहीं