Dzisiaj, noyb złożył we Francji trzy skargi przeciwko Fnac (największemu sklepowi elektronicznemu we Francji), aplikacji SeLoger do obsługi nieruchomości oraz aplikacji fitness MyFitnessPal. Aplikacje tych firm nielegalnie uzyskują dostęp do danych osobowych użytkowników i udostępniają je stronom trzecim w celu zaawansowanej analizy natychmiast po otwarciu aplikacji. Użytkownicy nie mają nawet możliwości wyrażenia zgody na udostępnianie swoich danych lub uniemożliwienia tego. Takie podejście jest niezgodne z prawem.
- Przykładowa skarga przeciwko Fnac (FR)
- Autotłumaczenie przykładowej skargi na język angielski
- Metodologia i specyfikacje techniczne dotyczące przechwytywania i analizy ruchu sieciowego
Domyślna transmisja. Skarżący zainstalował popularne aplikacje MyFitnessPal, Fnac i SeLoger na swoim smartfonie z systemem Android. Po otwarciu aplikacje natychmiast zaczęły gromadzić i udostępniać dane osobowe, w tym unikalny identyfikator reklamowy Google (AdID), model i markę urządzenia oraz lokalny adres IP stronom trzecim. Tak rozległe gromadzenie danych umożliwia profilowanie użytkowników w celu wyświetlania im spersonalizowanych reklam i kampanii marketingowych w celu zwiększenia przychodów wspomnianych firm.
Brak zgody. Zgodnie z dyrektywą o prywatności i łączności elektronicznej, sam dostęp lub przechowywanie danych na urządzeniu końcowym użytkownika jest dozwolone tylko wtedy, gdy użytkownicy wyrażą na to dobrowolną, świadomą, konkretną i jednoznaczną zgodę. Dwie z trzech aplikacji mobilnych nie wyświetlały banera zgody podczas uruchamiania aplikacji. Trzecia aplikacja prezentowała baner, który teoretycznie dawał skarżącemu wybór udzielenia lub wstrzymania zgody. W rzeczywistości przekazywanie ich danych osobowych rozpoczęło się bez jakiejkolwiek interakcji z ich strony - i zanim jeszcze mieli szansę pomyśleć o zgodzie.
Ala Krinickytė, prawnik ds. ochrony danych w noyb: "Każda aplikacja potrzebuje zgody na śledzenie użytkownika. Zamiast tego używają "domyślnego gromadzenia i śledzenia danych". W przeciwieństwie do śledzenia na stronach internetowych, aplikacje mobilne do tej pory prawie nie były egzekwowane"
Szczegółowe śledzenie. Informacje takie jak AdID są unikalne i powiązane z urządzeniem konkretnej osoby. Umożliwia to reklamodawcom i innym stronom trzecim wyodrębnienie użytkowników i pozwala im kierować reklamy do użytkowników w przyszłości. Niektórzy dostawcy aplikacji śledzą nawet zachowanie użytkowników poza ich aplikacjami. Pozwala im to wzbogacić zebrane dane o jeszcze więcej informacji na temat życia użytkownika.
Pierwszy wynik szerszego dochodzenia. Sposób, w jaki te aplikacje przetwarzają dane swoich użytkowników, jest symptomem szerszego problemu w środowisku aplikacji mobilnych. Chociaż aplikacje te często mają miliony użytkowników, nie przejmują się przestrzeganiem unijnych przepisów dotyczących prywatności - ale udostępniają prywatne dane stronom trzecim (w tym brokerom reklam) w celu zarabiania na danych swoich użytkowników. Według badań przeprowadzonych przez Konrada Kollniga i innych, tylko 3,5% wszystkich aplikacji dało użytkownikom rzeczywisty wybór, aby odmówić zgody.
Ala Krinickytė, prawnik ds. ochrony danych w noyb: "Nielegalne gromadzenie i udostępnianie danych osobowych użytkowników jest powszechnym problemem w środowisku aplikacji mobilnych. Kluczowe jest, aby organy nadzorcze podjęły teraz odpowiednie działania w celu położenia kresu tej praktyce"
Analiza naruszeń prywatności w aplikacjach mobilnych. Aby uzyskać dowody na wyżej wymienione naruszenia, konieczna była analiza techniczna ruchu sieciowego aplikacji na smartfony. Przechwytywanie i analiza ruchu sieciowego zostały przeprowadzone przy użyciu pakietu narzędzi PiRogue opracowanego przez agencję Defensive Lab. Szczegółową metodologię można znaleźć tutaj.
Usunięcie danych i ewentualna grzywna. noyb zwraca się do CNIL o nakazanie MyFitnessPal, Fnac i SeLoger usunięcia wszystkich danych, które zostały przetworzone niezgodnie z prawem. Ponadto wszyscy odbiorcy danych skarżącego muszą zostać poinformowani, że skarżący zażądał usunięcia wszelkich linków, kopii lub replikacji swoich danych osobowych. Biorąc pod uwagę powagę zarzutów i potencjalnie dużą liczbę osób, których one dotyczą, noyb sugeruje również, że właściwy organ powinien nałożyć grzywnę. Te skargi to dopiero początek: noyb planuje w przyszłości złożyć więcej skarg przeciwko firmom zajmującym się aplikacjami mobilnymi, aby powstrzymać nielegalne udostępnianie danych użytkowników.
Podziękowania
- Przechwytywanie i analiza ruchu sieciowego zostały przeprowadzone przy użyciu pakietu narzędzi PiRogue opracowanego przez Agencję Defensive Lab
- Dr Konrad Kollnig zapewnił swoją rozległą wiedzę i doświadczenie na temat śledzenia w aplikacjach mobilnych
- Tracking Weasel wniósł cenny wkład w temat bibliotek trackerów i śledzenia w aplikacjach mobilnych.