Днес, ноиб подаде три жалби във Франция срещу Fnac (най-големия магазин за електроника във Франция), приложението за недвижими имоти SeLoger и фитнес приложението MyFitnessPal. Приложенията на компаниите имат незаконен достъп до личните данни на потребителите и ги споделят с трети страни за сложни анализи веднага след отварянето на приложенията. Потребителите дори нямат избор да дадат съгласието си или да предотвратят споделянето на техните данни. Този подход е незаконен.
- Примерна жалба срещу Fnac (FR)
- Автоматичен превод на примера за жалба на английски език
- Методология и технически спецификации за улавяне и анализ на мрежовия трафик
Предаване по подразбиране. Жалбоподателят е инсталирал популярните приложения MyFitnessPal, Fnac и SeLoger на своя смартфон с Android. След като са били отворени, приложенията веднага са започнали да събират и споделят с трети страни лични данни, включително уникалния рекламен идентификатор на Google (AdID), модела и марката на устройството му и местния IP адрес. Подобно мащабно събиране на данни позволява профилиране на потребителите с цел да им се показват персонализирани реклами и маркетингови кампании за увеличаване на приходите на посочените компании.
Без съгласие. Съгласно Директивата за правото на неприкосновеност на личния живот и електронни комуникации самият достъп до или съхранението на данни в крайното устройство на потребителя е разрешено само ако потребителите дадат своето свободно, информирано, конкретно и недвусмислено съгласие. Две от трите мобилни приложения не са показвали банер за съгласие при стартиране на приложението. Третото приложение представяше банер, който теоретично даваше възможност на жалбоподателя да избере дали да даде или да откаже съгласието си. В действителност предаването на личните им данни е започнало без каквото и да е взаимодействие от тяхна страна - и преди дори да са имали възможност да помислят за съгласие.
Ала Криникети, юрист по защита на данните в noyb:"Всяко приложение се нуждае от съгласие, за да ви проследява. Вместо това те използват "събиране на данни и проследяване по подразбиране". За разлика от проследяването на уебсайтове, при мобилните приложения досега не е имало почти никакво прилагане."
Подробно проследяване. Информация като AdID е уникална и свързана с устройството на конкретен човек. Това позволява на рекламодателите и други трети страни да отделят потребители и им позволява да ги насочват в бъдеще. Някои доставчици на приложения дори проследяват поведението на потребителите извън техните приложения. Това им позволява да обогатят събраните данни с още повече информация за живота на потребителя.
Първи резултат от по-широкообхватно разследване. Начинът, по който тези приложения обработват данните на своите потребители, е симптом за по-широк проблем в средата на мобилните приложения. Въпреки че тези приложения често имат милиони потребители, те не си правят труда да спазват законите на ЕС за защита на личните данни - а споделят лични данни с трети страни (включително рекламни брокери), за да печелят от данните на своите потребители. Според проучване на Конрад Колниг и други, само 3,5 % от всички приложения дават на потребителите реален избор да откажат съгласие.
Ала Криникети, юрист по защита на данните в noyb: "Незаконното събиране и споделяне на лични данни на потребителите е широко разпространен проблем в средата на мобилните приложения. От ключово значение е сега надзорните органи да предприемат подходящи действия, за да сложат край на тази практика."
Анализ на нарушенията на защитата на личните данни при мобилните приложения. За да се получат доказателства за гореспоменатите нарушения, беше необходим технически анализ на мрежовия трафик на приложенията за смартфони. Заснемането и анализът на мрежовия трафик бяха извършени с помощта на пакета инструменти PiRogue, разработен от агенцията Defensive Lab. Подробната методология можете да намерите тук.
Изтриване на данни и евентуална глоба. noyb иска от CNIL да разпореди на MyFitnessPal, Fnac и SeLoger да изтрият всички данни, които са били незаконно обработени. Освен това всички получатели на данните на жалбоподателя трябва да бъдат информирани, че жалбоподателят е поискал заличаване на всички връзки, копия или реплики на личните му данни. Предвид сериозността на твърденията и потенциално големия брой засегнати лица, noyb предлага също така компетентният орган да наложи глоба. Тези жалби са само началото: noyb планира в бъдеще да подаде още жалби срещу компании за мобилни приложения, за да спре незаконното споделяне на потребителски данни.
Благодарности
- Заснемането и анализът на мрежовия трафик бяха извършени с помощта на пакета инструменти PiRogue, разработен от агенция Defensive Lab
- Д-р Конрад Колниг предостави своите обширни знания и опит по темата за проследяването в мобилните приложения
- Tracking Weasel допринесе с ценни идеи по темата за библиотеките за проследяване и проследяването в мобилните приложения.