LinkedIn पर पहचान सत्यापन करने पर कौन-कौन-सा निजी डेटा आगे चला जाता है

 (thelocalstack.eu)
5 पॉइंट द्वारा GN⁺ 2026-02-22 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • LinkedIn की पहचान सत्यापन प्रक्रिया तब पूरी मानी जाती है जब उपयोगकर्ता अपना passport और चेहरा फोटो जमा करता है, लेकिन वास्तविक डेटा LinkedIn को नहीं बल्कि अमेरिकी कंपनी Persona को भेजा जाता है
  • Persona passport फोटो, facial recognition के लिए biometric data, NFC chip data, device information और location data सहित बहुत बड़ी मात्रा में निजी डेटा इकट्ठा करती है
  • इस डेटा का AI training में उपयोग किया जाता है, और इसका कानूनी आधार ‘legitimate interest’ बताया गया है, इसलिए explicit consent के बिना processing की जाती है
  • Persona के 17 subprocessors में से 16 अमेरिकी कंपनियाँ हैं, और OpenAI·Anthropic जैसी AI कंपनियाँ passport और face data का विश्लेषण करती हैं
  • अमेरिकी CLOUD Act के तहत यूरोप के servers में रखा गया डेटा भी अमेरिकी सरकार की पहुँच में आ सकता है, इसलिए यूरोपीय उपयोगकर्ताओं की privacy की वास्तविक सुरक्षा सुनिश्चित नहीं होती

LinkedIn सत्यापन प्रक्रिया की वास्तविक संरचना

  • LinkedIn का ‘Verify’ बटन दबाते ही उपयोगकर्ता Persona Identities, Inc. (San Francisco स्थित) पर redirect हो जाता है
    • LinkedIn ग्राहक कंपनी है, और उपयोगकर्ता Persona के data processing का subject बन जाता है
    • ज़्यादातर उपयोगकर्ताओं को Persona के अस्तित्व का पता भी नहीं होता, फिर भी वे passport और face photo जमा कर देते हैं

Persona द्वारा इकट्ठा किया गया डेटा

  • पहचान सत्यापन प्रक्रिया में Persona निम्न जानकारी इकट्ठा करती है
    • नाम, passport की पूरी image, real-time selfie, facial geometry (biometric data)
    • NFC chip data, national ID number, gender, date of birth, email, phone number, address
    • IP address, device·browser information, language, location data
  • इसके अतिरिक्त ‘hesitation detection’, ‘copy-paste detection’ जैसी behavioral biometrics भी track की जाती हैं

तीसरे पक्ष के डेटा के साथ cross-check

  • Persona उपयोगकर्ता द्वारा दी गई जानकारी के अलावा सरकारी databases, credit agencies, telecom operators, utility companies आदि के साथ cross-verification भी करती है
    • यह सिर्फ साधारण identity check नहीं बल्कि background check के स्तर की data inquiry है

AI training data के रूप में उपयोग

  • privacy policy के अनुसार, अपलोड की गई passport images और selfies का उपयोग AI model training में किया जाता है
    • उद्देश्य अलग-अलग देशों के passports की पहचान बेहतर करना और सेवा में सुधार करना है
    • कानूनी आधार ‘legitimate interest’ है, इसलिए उपयोगकर्ता की explicit consent के बिना processing संभव है
    • GDPR के तहत यह मूल अधिकारों का उल्लंघन है या नहीं, यह स्पष्ट नहीं है

डेटा साझा करना और पहुँच रखने वाले पक्ष

  • LinkedIn को मिलने वाली जानकारी है: नाम, जन्म वर्ष, ID document का प्रकार, issuing authority, verification result, और blur की गई ID copy
  • Persona निम्न पक्षों के साथ भी डेटा साझा करती है
    • service providers और data partners, affiliates, potential acquirers, law enforcement agencies
  • 17 subprocessors की सूची में निम्न शामिल हैं
    • Anthropic, OpenAI, Groqcloud (data extraction·analysis)
    • AWS, Google Cloud, Snowflake, MongoDB जैसे infrastructure और database services
    • Stripe, Twilio जैसी payment·communication API providers
  • 17 में से 16 अमेरिका में और 1 कनाडा में स्थित हैं, और EU के भीतर कोई कंपनी नहीं है

CLOUD Act और data sovereignty का मुद्दा

  • Persona अमेरिका और Germany में data centers चलाती है, लेकिन चूँकि यह अमेरिकी कंपनी है, इसलिए इस पर CLOUD Act लागू होता है
    • अमेरिकी अदालतें विदेश में रखे गए server data तक भी कानूनी आदेश के जरिए पहुँच सकती हैं
    • Persona की policy में “law enforcement·national security purposes के अनुरोध पर data उपलब्ध कराया जाएगा” स्पष्ट लिखा है
    • इसमें gag order भी शामिल हो सकता है, इसलिए उपयोगकर्ता को इसकी सूचना न मिले

EU-US Data Privacy Framework की सीमाएँ

  • Persona के पास EU-US Data Privacy Framework (DPF) certification है
    • लेकिन यह Privacy Shield का विकल्प है, और इसकी कानूनी प्रभावशीलता Executive Order पर आधारित है
    • भविष्य में प्रशासन बदलने पर इसे वापस लिया जा सकता है
    • noyb जैसे privacy groups पहले ही इसके खिलाफ कानूनी चुनौती दे चुके हैं

biometric data के जोखिम और retention exception

  • Persona कहती है कि facial geometry data को verification पूरी होने के बाद या 6 महीने के भीतर delete कर दिया जाता है
    • लेकिन कानूनी आवश्यकता होने पर retention exception रखा गया है, इसलिए अमेरिकी अदालत के आदेश पर इसे अनिश्चित समय तक रखा जा सकता है
    • biometric data बदला नहीं जा सकने वाला unique identifier है, और लीक होने पर इसकी भरपाई संभव नहीं

कानूनी ज़िम्मेदारी और उपयोगकर्ता अधिकार

  • Persona की damages liability limit 50 डॉलर तक सीमित है
    • विवाद का समाधान केवल अमेरिकी arbitration body (AAA) के जरिए individual mandatory arbitration में ही संभव है
    • EU उपयोगकर्ताओं के लिए Irish law लागू होने की बात कही गई है, लेकिन CLOUD Act की प्राथमिकता के कारण वास्तविक सुरक्षा कमज़ोर है

उपयोगकर्ताओं के लिए सुझाए गए कदम

  • जो उपयोगकर्ता पहले ही verification पूरा कर चुके हैं, वे निम्न कर सकते हैं
    • data access request: idv-privacy@withpersona.com
    • deletion request: verification पूरी होने के बाद अनावश्यक डेटा हटाने की माँग
    • DPO संपर्क: dpo@withpersona.com पर AI training में उपयोग के खिलाफ आपत्ति दर्ज की जा सकती है
    • verification पर पुनर्विचार: साधारण badge से अधिक biometric privacy की अहमियत पर विचार ज़रूरी है

निष्कर्ष

  • LinkedIn की identity verification सिर्फ 3 मिनट में पूरी हो जाती है, लेकिन वास्तविक data flow समझने के लिए 34 पन्नों के कानूनी दस्तावेज़ पढ़ने पड़ते हैं
  • उपयोगकर्ता अपना passport, चेहरा, biometric data, credit record एक अमेरिकी कंपनी को सौंप देता है, और
    AI training, government access, और legal retention exceptions के जोखिम में आ जाता है
  • यूरोपीय उपयोगकर्ताओं का डेटा व्यवहारिक रूप से अमेरिकी कानूनी ढाँचे के अधीन चला जाता है
  • सिर्फ एक नीला badge पाने के लिए पूरी व्यक्तिगत पहचान सौंपने वाली संरचना बन जाती है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.