Tänään, noyb teki Ranskassa kolme valitusta Fnacia (Ranskan suurin elektroniikkakauppa), kiinteistösovellus SeLogeria ja kuntosovellus MyFitnessPalia vastaan. Yritysten sovellukset käyttävät laittomasti käyttäjien henkilötietoja ja jakavat niitä kolmansille osapuolille kehittynyttä analytiikkaa varten heti sovellusten avaamisen jälkeen. Käyttäjillä ei ole edes mahdollisuutta valita, suostuvatko he tietojensa jakamiseen vai estävätkö he sen. Tämä lähestymistapa on lainvastainen.
- Esimerkki valituksesta Fnacia vastaan (FR)
- Esimerkkivalituksen automaattinen käännös englanniksi
- Verkkoliikenteen keräämisen ja analysoinnin menetelmät ja tekniset eritelmät
Oletusarvoinen lähetys. Kantelija asensi Android-älypuhelimeensa suositut sovellukset MyFitnessPal, Fnac ja SeLoger. Kun sovellukset oli avattu, ne alkoivat välittömästi kerätä ja jakaa henkilökohtaisia tietoja, mukaan lukien Googlen yksilöllinen mainostunnus (AdID), laitteen malli ja merkki sekä paikallinen IP-osoite, kolmansien osapuolten kanssa. Näin laaja tietojenkeruu mahdollistaa käyttäjien profiloinnin, jotta heille voidaan näyttää yksilöllisiä mainoksia ja markkinointikampanjoita mainittujen yritysten tulojen lisäämiseksi.
Ei suostumusta. Sähköisen viestinnän tietosuojadirektiivin mukaan pelkkä tietojen käyttö tai tallentaminen käyttäjän päätelaitteeseen on sallittua vain, jos käyttäjät antavat siihen vapaan, tietoon perustuvan, erityisen ja yksiselitteisen suostumuksensa. Kaksi kolmesta mobiilisovelluksesta ei näyttänyt suostumusbanneria sovellusta käynnistettäessä. Kolmannessa sovelluksessa näytettiin banneri, joka teoriassa antoi kantelijalle mahdollisuuden valita, antaako hän suostumuksensa vai ei. Todellisuudessa heidän henkilötietojensa siirto alkoi ilman minkäänlaista vuorovaikutusta heidän puoleltaan - ja ennen kuin heillä oli edes mahdollisuutta miettiä suostumusta.
Ala Krinickytė, tietosuojalakimies noyb: "Jokainen sovellus tarvitsee suostumuksen voidakseen seurata sinua. Sen sijaan ne käyttävät "oletusarvoista tiedonkeruuta ja -seurantaa". Toisin kuin verkkosivustoilla tapahtuvassa seurannassa, mobiilisovelluksissa ei ole toistaiseksi ollut juuri lainvalvontaa."
Yksityiskohtainen seuranta. AdID:n kaltaiset tiedot ovat yksilöllisiä ja liittyvät tietyn henkilön laitteeseen. Näin mainostajat ja muut kolmannet osapuolet voivat yksilöidä käyttäjiä ja kohdentaa käyttäjiä tulevaisuudessa. Jotkut sovellusten tarjoajat jopa seuraavat käyttäjien käyttäytymistä sovellustensa ulkopuolella. Näin ne voivat rikastuttaa kerättyjä tietoja entistäkin enemmän käyttäjän elämää koskevilla tiedoilla.
Laajemman tutkimuksen ensimmäinen tulos. Tapa, jolla nämä sovellukset käsittelevät käyttäjiensä tietoja, on oire laajemmasta ongelmasta mobiilisovellusympäristössä. Vaikka näillä sovelluksilla on usein miljoonia käyttäjiä, ne eivät vaivaudu noudattamaan EU:n yksityisyydensuojaa koskevia lakeja - vaan jakavat yksityisiä tietoja kolmansien osapuolten (myös mainosvälittäjien) kanssa saadakseen rahaa käyttäjiensä tiedoista. Konrad Kollnigin ja muiden tekemän tutkimuksen mukaan vain 3,5 prosenttia kaikista sovelluksista antoi käyttäjille todellisen mahdollisuuden kieltäytyä suostumuksesta.
Ala Krinickytė, tietosuojalakimies, noyb: "Käyttäjien henkilötietojen laiton kerääminen ja jakaminen on laajalle levinnyt ongelma mobiilisovellusympäristössä. On tärkeää, että valvontaviranomaiset ryhtyvät nyt asianmukaisiin toimiin tämän käytännön lopettamiseksi."
Analyysi mobiilisovellusten tietosuojarikkomuksista. Jotta edellä mainituista rikkomuksista saatiin näyttöä, tarvittiin älypuhelinsovellusten verkkoliikenteen tekninen analyysi. Verkkoliikenteen kaappaaminen ja analysointi suoritettiin Defensive Lab Agencyn kehittämän PiRogue Tool Suite -työkalusarjan avulla. Yksityiskohtaiset menetelmät löytyvät täältä.
Tietojen poistaminen ja mahdollinen sakko. noyb pyytää CNIL:ää määräämään MyFitnessPalin, Fnacin ja SeLogerin poistamaan kaikki laittomasti käsitellyt tiedot. Lisäksi kaikille kantelijan tietojen vastaanottajille on ilmoitettava, että kantelija on pyytänyt poistamaan kaikki hänen henkilötietojensa linkit, kopiot tai jäljennökset. Ottaen huomioon väitteiden vakavuuden ja mahdollisesti suuren määrän henkilöitä, joita asia koskee, noyb ehdottaa myös, että toimivaltaisen viranomaisen tulisi määrätä sakko. Nämä valitukset ovat vasta alkua: noyb aikoo tehdä tulevaisuudessa lisää valituksia mobiilisovellusyrityksiä vastaan lopettaakseen käyttäjätietojen laittoman jakamisen.
Kiitokset
- Verkkoliikenteen kaappaaminen ja analysointi suoritettiin Defensive Lab Agencyn kehittämän PiRogue Tool Suite -työkalusarjan avulla
- Tohtori Konrad Kollnig tarjosi laajaa tietämystään ja asiantuntemustaan mobiilisovellusten seurannasta
- Tracking Weasel antoi arvokkaita näkemyksiä mobiiliapplikaatioiden seurantakirjastoista ja seurannasta.