Idag är det noyb tre klagomål i Frankrike mot Fnac (den största elektronikbutiken i Frankrike), fastighetsappen SeLoger och fitnessappen MyFitnessPal. Företagens appar får olagligt tillgång till och delar användarnas personuppgifter med tredje part för sofistikerade analyser så snart apparna öppnas. Användarna har inte ens möjlighet att samtycka till eller förhindra att deras uppgifter delas. Detta tillvägagångssätt är olagligt.
- Exempel på klagomål mot Fnac (FR)
- Engelsk automatisk översättning av exempelklagomålet
- Metodik och tekniska specifikationer för insamling och analys av nätverkstrafik
Överföring som standard. Den klagande installerade de populära apparna MyFitnessPal, Fnac och SeLoger på sin Android-smartphone. När applikationerna öppnades började de omedelbart samla in och dela personuppgifter, däribland Googles unika annonserings-ID (AdID), enhetens modell och märke och den lokala IP-adressen med tredje part. En sådan omfattande datainsamling gör det möjligt att profilera användare för att visa dem anpassade annonser och marknadsföringskampanjer för att öka intäkterna för de nämnda företagen.
Inget samtycke. Enligt direktivet om integritet och elektronisk kommunikation är enbart åtkomst till eller lagring av data på användarens terminal endast tillåten om användaren ger sitt fria, informerade, specifika och otvetydiga samtycke. Två av de tre mobilapparna visade inte någon samtyckesbanner när appen startades. Den tredje appen visade en banner som i teorin gav klaganden möjlighet att välja om han eller hon ville ge sitt samtycke eller inte. I verkligheten började överföringen av deras personuppgifter utan någon interaktion från deras sida - och innan de ens hade fått en chans att tänka på samtycke.
Ala Krinickytė, dataskyddsjurist på noyb: "Varje app behöver samtycke för att spåra dig. Istället använder de "datainsamling och spårning som standard". Till skillnad från spårning på webbplatser har mobilappar hittills nästan inte sett någon tillämpning."
Detaljerad spårning. Information som AdID är unik och kopplad till en specifik persons enhet. Det gör att annonsörer och andra tredje parter kan peka ut användare och rikta in sig på dem i framtiden. Vissa appleverantörer spårar även användarnas beteende utanför sina applikationer. Detta gör det möjligt för dem att berika de insamlade uppgifterna med ännu mer information om användarens liv.
Första resultatet av en bredare undersökning. Det sätt på vilket dessa appar hanterar sina användares data är symptomatiskt för ett större problem i mobilappsmiljön. Trots att dessa applikationer ofta har miljontals användare bryr de sig inte om att följa EU:s integritetslagar - utan delar privata uppgifter med tredje part (inklusive annonsmäklare) för att tjäna pengar på sina användares uppgifter. Enligt forskning av Konrad Kollnig och andra gav endast 3,5 % av alla appar användarna ett verkligt val att avstå från samtycke.
Ala Krinickytė, dataskyddsjurist på noyb: "Olaglig insamling och delning av användarnas personuppgifter är ett utbrett problem i mobilappsmiljön. Det är viktigt att tillsynsmyndigheterna nu vidtar lämpliga åtgärder för att sätta stopp för denna praxis."
Analys av integritetskränkningar i mobilappar. För att få bevis för de ovan nämnda överträdelserna krävdes en teknisk analys av smartphoneapparnas nätverkstrafik. Insamlingen och analysen av nätverkstrafiken genomfördes med hjälp av PiRogue Tool Suite som utvecklats av Defensive Lab Agency. Du kan hitta den detaljerade metoden här.
Raderingav uppgifter och eventuella böter. noyb begär att CNIL ska beordra MyFitnessPal, Fnac och SeLoger att radera alla uppgifter som har behandlats på olagligt sätt. Dessutom måste alla mottagare av den klagandes uppgifter informeras om att den klagande har begärt radering av alla länkar, kopior eller replikeringar av deras personuppgifter. Med tanke på allvaret i anklagelserna och det potentiellt stora antalet berörda personer föreslår noyb också att den behöriga myndigheten ska ålägga böter. Dessa klagomål är bara början: noyb planerar att lämna in fler klagomål mot mobilappföretag i framtiden för att stoppa den olagliga delningen av användardata.
Erkännande
- Insamlingen och analysen av nätverkstrafiken utfördes med hjälp av PiRogue Tool Suite som utvecklats av Defensive Lab Agency
- Dr. Konrad Kollnig bidrog med sin omfattande kunskap och expertis inom ämnet spårning i mobilappar
- Tracking Weasel bidrog med värdefulla insikter i ämnet tracker-bibliotek och spårning i mobilappar.
