Te aplikacje przekazują Facebookowi Twoje dane, nawet jeśli nie masz na nim konta

dodał 10 stycznia 2019 o 18:40 w kategorii Prawo, Prywatność  z tagami:
Te aplikacje przekazują Facebookowi Twoje dane, nawet jeśli nie masz na nim konta

Niektóre z popularnych aplikacji na smartfony z Androidem – w tym Spotify, SkyScanner i MyFitnessPal – przekazują szczegółowe informacje Facebookowi, nawet jeśli ich użytkownicy nie mają na nim konta – wynika z badania Privacy International.

Od latarki w smartfonie do kalendarzyka menstruacyjnego

Chcąc dowiedzieć się, jakie faktycznie dane przekazywane są do Facebooka, badacze z Privacy International – Frederike Kaltheuner i Christopher Weatherhead – przyjrzeli się bliżej 34 popularnym aplikacjom na Androida, począwszy od pozornie nieszkodliwej aplikacji latarki „Super-Bright LED Flashlight” po bardziej osobiste aplikacje religijne czy kalendarzyki służące do obliczania terminu miesiączki.

Okazało się, że ponad 61 procent aplikacji dzieli się informacjami z Facebookiem już od samego początku, nawet zanim użytkownik będzie mógł zdecydować, czy chce się do nich zalogować przez serwis Zuckerberga, nie mówiąc już o wyrażeniu zgody na przetwarzanie swoich danych osobowych. Dzieje się tak pomimo szumnych deklaracji twórców oprogramowania mobilnego, którzy twierdzą, że ochrona danych jest dla nich najwyższym priorytetem.

Dla przykładu, aplikacja służąca do wyszukiwania ofert turystycznych Kayak na ekranie początkowym zapewnia użytkownika, że nie będzie udostępniać żadnych danych bez jego wyraźnej zgody. Jak wynika jednak z raportu Privacy International, jest zupełnie inaczej, gdyż już w tym momencie (tj. wyświetlania się ekranu początkowego) dane są przekazywane w tle Facebookowi.

Zbiory informacji, które trafiały do firmy Zuckerberga, zawierały m.in. nazwę aplikacji, unikalny identyfikator użytkownika do obsługi reklam Google oraz liczbę razy, kiedy aplikacja była otwierana i zamykana od momentu jej pobrania z Google Play. Niektóre z tych aplikacji, m.in. wspomniany już Kayak, przesyłały później bardzo szczegółowe informacje o wyszukiwaniu połączeń lotniczych przez swoich użytkowników, włączając w to datę podróży, to, czy dana osoba posiada dzieci oraz jakie inne cele podróży były przez nią wcześniej wyszukiwane.

“Ważne jest, aby pamiętać, że dzieje się tak bez względu na to, czy jesteś użytkownikiem Facebooka czy nie” – powiedział cytowany przez francuski dziennik “Le Monde” Christopher Weatherhead podczas konferencji CCC w Lipsku. 

Deanonimizacja

Niepokojącym zjawiskiem dla badaczy jest również tzw. deanonimizacja danych, czyli praktyka łączenia otrzymanych danych osobowych z konkretnym użytkownikiem.

Privacy International podało przykład użytkownika, który pobrał na swój smartfon aplikacje Indeed (popularna wyszukiwarka ofert pracy), Qibla Connect (aplikacja do modlitwy dla muzułmanów) oraz Period Tracker Clue (kalendarz miesiączkowy). Wszystkie wspomniane aplikacje wysyłają informacje do Facebooka zaraz po tym, jak dana osoba uruchomi zainstalowany program na swoim smartfonie.

Zebrane w ten sposób przez badaczy dane mogą wskazywać, że użytkownik jest muzułmanką szukającą pracy. Warto przy tym zauważyć, że informacje dotyczące wyznawanej religii (dane wrażliwe) są pod szczególną ochroną unijnych przepisów ochrony danych osobowych (w Europie RODO, w USA – HIPPA). 

Dogłębna analiza ruchu aplikacji wykazała, że w oparciu o zbierane dane tworzone są profile użytkowników bez pytania ich o zgodę na ten proces. “Aplikacja Muslim Pro oznajmiła mi, że nie jestem dzieckiem, chociaż nigdy mnie o to nie pytano” – zauważył Christopher Weatherhead. Jak dodał, wydaje się, że niektórzy deweloperzy próbują ominąć wyraźne życzenie użytkowników, aby ich dane nie były gromadzone – na przykład jedna z aplikacji nagle zaczęła przekazywać znacznie więcej informacji do trackerów reklamowych osobie, która dezaktywowała spersonalizowaną reklamę.

RODO

Po wdrożeniu w UE 25 maja 2018 roku Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) deweloperzy muszą uzyskać wyraźną zgodę użytkowników przed zebraniem i dalszym przekazywaniem ich danych osobowych. W przeciwnym razie może im grozić wysoka kara, która zgodnie z obowiązującymi przepisami może wynieść do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa.

Frederike Kaltheuner, która przeprowadzała badanie, podkreśliła, że jakkolwiek odpowiedzialność za przestrzeganie przepisów spoczywa w całości na twórcach aplikacji, jednak to właśnie twórcy facebookowego Software Development Kit (SDK) nie zaimplementowali możliwości wyrażenia zgody użytkownika przed przekazaniem niektórych rodzajów danych osobowych.

“Co najmniej cztery tygodnie przed wejściem w życie przepisów unijnego rozporządzenia RODO nie można było nawet poprosić o taką zgodę ze względu na domyślne ustawienia SDK Facebooka. Oznacza to, że dane są automatycznie przekazywane w momencie otwarcia aplikacji” – podkreśliła Kaltheuner.

Deweloperzy już od wielu miesięcy skarżyli się na ten problem, wysyłając raporty na platformie deweloperskiej Facebooka, w których stwierdzali, że w związku z przestarzałym SDK nie mogą przestrzegać obowiązującego prawa.

“Cześć wszystkim. Przeanalizowaliśmy aktywność sieciową SDK Facebooka i stwierdziliśmy, że tuż po uruchomieniu aplikacji wysyła ona kilka zapytań do strony graph.facebook.com. Wydaje się to naruszać RODO; nie możemy wysyłać żadnych informacji o użytkowniku, dopóki on nam na to nie pozwoli. Czy mógłbyś to naprawić lub potwierdzić, że takie żądania nie naruszają RODO?” – zapytał jeden z cytowanych przez dziennik „Financial Times” programistów. 

Kilka tygodni później Facebook oświadczył, że wydał stosowną poprawkę, ale deweloperzy będą musieli ręcznie pobrać aktualizację, aby z niej skorzystać. Jak się jednak okazało, programiści dalej zgłaszali problemy z działaniem SDK i nie jest do końca jasne, co zostało zmienione i czy aktualizacja przyniosła pożądane rezultaty.

“Sześć miesięcy po wydaniu aktualizacji wciąż widzimy bardzo mało dowodów na to, że deweloperzy ją wdrażają. Spośród wszystkich aplikacji, które przetestowaliśmy, 67,7 procent z nich automatycznie przesyła dane do Facebooka w momencie uruchomienia aplikacji” – napisano w raporcie Privacy International.

Kwestia odpowiedzialności jest złożona

Kto więc prawnie odpowiada za zgromadzone dane osobowe? Frederike Kaltheuner przyznaje, że problem jest “złożony”. Zgodnie z obowiązującymi przepisami RODO w większości przypadków należy uzyskać zgodę osoby fizycznej przed gromadzeniem jej danych osobowych. Zasada ta nie zawsze jest jednak przestrzegana, zwłaszcza gdy dane są wysyłane natychmiast po uruchomieniu aplikacji i bez jakiejkolwiek zgody ze strony użytkownika. Dla Facebooka to twórcy aplikacji są odpowiedzialni za wszystkie dane, które do nich docierają.

Według Privacy International narzędzia udostępnione przez Facebooka deweloperom już po wdrożeniu przepisów RODO nie działają tak, jak powinny. Serwis Zuckerberga oferuje również możliwość ograniczenia gromadzenia danych osób, które nie są zarejestrowane, jednak w ocenie badaczy “nie ma to widocznego wpływu na ilość udostępnianych danych”.

Badacze w toku prowadzonego śledztwa udowodnili, że liczne aplikacje wysyłają szczegółowe dane do Facebooka, jednak – jak sami przyznają – bez większej przejrzystości ze strony tego serwisu społecznościowego “nie wiadomo, w jaki sposób wykorzystywane są opisane przez nas dane”.

Facebook i deweloperzy nabierają wody w usta

Rzecznik Facebooka poinformował przy tej okazji, że deweloperzy mogą już wyłączyć automatyczne zbieranie danych, a nowa funkcja pozwala programistom na opóźnienie zbierania informacji analitycznych przez aplikacje.

Okazuje się jednak, że wiele aplikacji dostępnych na Androida nadal korzysta ze starszej wersji SDK, co uniemożliwia skorzystanie z nowych funkcji.

“Przed wprowadzeniem funkcji “Opóźnienia”, programiści mieli możliwość wyłączenia automatycznego rejestrowania zdarzeń za wyjątkiem sygnału, że SDK jest zainicjowany. Po czerwcowej zmianie naszego SDK usunęliśmy z niego sygnał, że SDK został zainicjowany, dla deweloperów, którzy wyłączyli automatyczne rejestrowanie zdarzeń” – napisał Facebook w e-mailu skierowanym do Privacy International.

Do sprawy odniósł się także serwis Spotify w pisemnej korespondencji mailowej, stwierdzając, że trwają prace nad oceną wyników badań uzyskanych przez Privacy International.

“Pracujemy obecnie nad oceną wyników Privacy International (…) i zrozumienia kontekstu, w jaki sposób dane są przekazywane do graph.facebook.com. W razie potrzeby dokonamy również oceny, czy w ramach integracji z Facebookiem należy wprowadzić zmiany. Z uwagi jednak na to, że jest to technicznie skomplikowana i ważna materia, jest mało prawdopodobne, aby ta ocena została dokonana przed opublikowaniem przez Państwa organizację raportu” – oświadczyła firma Spotify.

Z kolei rzecznik SkyScannera utrzymuje, że jego firma nie miała pojęcia o tym, że dane użytkowników przesyłane są do Facebooka.

W świetle powyższych doniesień nietrudno o wniosek, że najbezpieczniejsze dla naszej prywatności wciąż pozostaje korzystanie ze starego dobrego desktopa, a aplikacje mające ułatwiać nam życie wcale nie po to powstały. Z drugiej jednak strony praktyka życia codziennego wskazuje, że coraz łatwiej zapomnieć nam o tym, iż „nie ma darmowych obiadów”.