Τουλάχιστον το 61% των apps που δοκιμάστηκαν μεταφέρει αυτόματα δεδομένα στο Facebook τη στιγμή ο χρήστης τις ανοίγει, σύμφωνα με την Privacy International
Παλαιότερες έρευνες έδειξαν ότι το 42,55% των δωρεάν εφαρμογών στο Google Play Store μπορούν να μοιράζονται δεδομένα με το Facebook, καθιστώντας το Facebook το δεύτερο πιο διαδεδομένο “ιχνηλάτη” τρίτου μέρους (third party tracker) μετά τη μητρική εταιρία της Google, την Alphabet.
Μία νέα έρευνα που δημοσιεύει η Privacy International αποτυπώνει το πως φαίνεται αυτή η ανταλλαγή δεδομένων στην πράξη, ειδικά για άτομα που δεν έχουν λογαριασμό στο Facebook.
Το ερώτημα κατά πόσον το Facebook συγκεντρώνει πληροφορίες σχετικά με χρήστες που δεν έχουν συνδεθεί ή δεν έχουν λογαριασμό σε αυτό, προέκυψε μετά από το σκάνδαλο Cambridge Analytica που οδήγησε στη δημιουργία ειδικών επιτροπών ερευνών σε Ηνωμένες Πολιτείες και Ευρώπη.
Ωστόσο, οι συζητήσεις, καθώς και τα πρόστιμα που έχουν επιβληθεί από Αρχές Προστασίας Δεδομένων σχετικά με την παρακολούθηση μη χρηστών, επικεντρώνονται συχνά στην παρακολούθηση που λαμβάνει χώρα σε ιστοσελίδες.
Πολύ λίγα είναι γνωστά σε σχέση με τα δεδομένα που λαμβάνει η εταιρεία από τις εφαρμογές (applications).
Για τους λόγους αυτούς, στη νέα αυτή έκθεση τίθενται ερωτήματα σχετικά με τη διαφάνεια και τη χρήση των δεδομένων από εφαρμογές που θεωρούνται επίκαιρα και σημαντικά.
Συστηματική παρακολούθηση χρηστών μέσω εφαρμογών
Από την έρευνα προκύπτει ότι το Facebook παρακολουθεί συστηματικά τους χρήστες, τους μη χρήστες καθώς και τους αποσυνδεδεμένους χρήστες, εκτός της πλατφόρμας του, μέσω των επιχειρηματικών εργαλείων του Facebook (Facebook Business Tools).
Οι προγραμματιστές εφαρμογών μοιράζονται δεδομένα με το Facebook μέσω του kit ανάπτυξης λογισμικού του Facebook (Software Development Kit), ένα σύνολο εργαλείων ανάπτυξης λογισμικού που βοηθούν τους προγραμματιστές να δημιουργούν εφαρμογές για ένα συγκεκριμένο λειτουργικό σύστημα.
Χρησιμοποιώντας το εργαλείο λογισμικού ανοιχτού κώδικα που ονομάζεται “mitmproxy”, έναν διακομιστή μεσολάβησης HTTPS (HTTPS proxy), η Privacy International ανέλυσε τα δεδομένα που μεταδίδουν στο Facebook, μέσω του SDK, 34 εφαρμογές σε Android, καθεμία από τις οποίες έχει εγκατασταθεί από 10 έως 500 εκατομμύρια φορές.
Μεταξύ αυτών ιδιαίτερα δημοφιλείς εφαρμογές, όπως το Spotify Music, το Shazam, το Skyscanner και το Yelp.
Όλες οι εφαρμογές δοκιμάστηκαν από τον Αύγουστο έως τον Δεκέμβριο του 2018, με την τελευταία δοκιμή να πραγματοποιείται μεταξύ 3 και 11 Δεκεμβρίου 2018.
Τα ευρήματα της έρευνας συνοπτικά
- Διαπιστώθηκε ότι τουλάχιστον το 61% των εφαρμογών που δοκιμάστηκαν μεταφέρει αυτόματα δεδομένα στο Facebook τη στιγμή που ένας χρήστης ανοίγει την εφαρμογή. Αυτό συμβαίνει είτε οι χρήστες έχουν λογαριασμό στο Facebook είτε όχι, είτε έχουν συνδεθεί στο Facebook είτε όχι.
- Συνήθως, τα δεδομένα που μεταδίδονται αυτόματα είναι δεδομένα γεγονότων που ανακοινώνουν στο Facebook ότι το SDK Facebook έχει εκκινήσει, με τη μετάδοση δεδομένων όπως “App installed” και “Initialized SDK”. Αυτά τα δεδομένα αποκαλύπτουν το γεγονός ότι ένας χρήστης χρησιμοποιεί μία συγκεκριμένη εφαρμογή, κάθε φορά που ο χρήστης ανοίγει την εφαρμογή.
- Στην έκθεση της Privacy International προέκυψε ότι εφαρμογές που μεταδίδουν αυτόματα δεδομένα στο Facebook, μοιράζονται τα δεδομένα αυτά μαζί με ένα μοναδικό αναγνωριστικό, το αναγνωριστικό διαφήμισης της Google (AAID).
- Ο πρωταρχικός σκοπός των διαφημιστικών αναγνωριστικών, όπως το αναγνωριστικό διαφήμισης Google (ή το αντίστοιχο της Apple, το IDFA) είναι να επιτρέπει στους διαφημιζόμενους να συνδέουν τα δεδομένα σχετικά με τη συμπεριφορά των χρηστών από διαφορετικές εφαρμογές και την περιήγησή τους στο διαδίκτυο, σε ένα ολοκληρωμένο προφίλ.
- Αν συνδυαστούν, τα δεδομένα από διαφορετικές εφαρμογές μπορούν να “σκιαγραφήσουν” μια λεπτομερή και οικεία εικόνα των δραστηριοτήτων, των συμφερόντων, των συμπεριφορών και των ρουτινών των χρηστών, ενώ ορισμένα από τα δεδομένα αυτά μπορεί να αποκαλύπτουν δεδομένα ειδικών κατηγοριών, συμπεριλαμβανομένων πληροφοριών για την υγεία ή τη θρησκεία των χρηστών.
- Για παράδειγμα, για ένα άτομο που έχει εγκαταστήσει τις εφαρμογές “Qibla Connect” (εφαρμογή μουσουλμανικής προσευχής), “Tracker Clue” (παρακολούθηση περιόδου), “Indeed” (εφαρμογή αναζήτησης εργασίας), “My Talking Tom “(μια εφαρμογή για παιδιά), θα μπορούσε να καταρτιστεί προφίλ που δείχνει ότι είναι πιθανώς γυναίκα, μουσουλμανικής θρησκείας, που αναζητά εργασία και είναι γονέας.
- Εάν συνδυαστούν, τα δεδομένα συμβάντων, όπως “App installed”, “SDK Initialized” και “Deactivate app”, από διαφορετικές εφαρμογές, μπορούν να παρέχουν λεπτομερή εικόνα της συμπεριφοράς σχετικά με τη χρήση εφαρμογών εκατοντάδων εκατομμυρίων ανθρώπων.
- Διαπιστώθηκε επίσης ότι ορισμένες εφαρμογές στέλνουν συστηματικά δεδομένα προς το Facebook που είναι απίστευτα λεπτομερή και μερικές φορές ευαίσθητα. Και πάλι, αυτό αφορά τα δεδομένα των ατόμων που έχουν αποσυνδεθεί από το Facebook ή δεν έχουν λογαριασμό σε αυτό. Ένα βασικό παράδειγμα είναι η εφαρμογή αναζήτησης και ταξινόμησης τιμών “KAYAK”, η οποία στέλνει αναλυτικές πληροφορίες για τις αναζητήσεις πτήσεων των χρηστών στο Facebook, όπως η πόλη, το αεροδρόμιο και η ημερομηνία αναχώρησης και άφιξης, των αριθμό των εισιτηρίων (συμπεριλαμβανομένου του αριθμού των παιδιών), καθώς και την κατηγορία τους (economy, business, ή πρώτη θέση).
- Η Πολιτική cookie του Facebook περιγράφει δύο τρόπους με τους οποίους οι χρήστες που δεν διαθέτουν λογαριασμό στο Facebook μπορούν να ελέγξουν τη χρήση των cookies από το Facebook με σκοπό την προβολή διαφημίσεων. Η Privacy International δοκίμασε και τις δύο μεθόδους opt-out και διαπίστωσε ότι δεν είχαν καμία αισθητή επίδραση στην ανταλλαγή δεδομένων που περιγράφονται στην έρευνα.
Ο GDPR και η “απάντηση” του Facebook
Το Facebook μεταθέτει στους προγραμματιστές εφαρμογών την αποκλειστική ευθύνη να διασφαλίσουν ότι έχουν το νόμιμο δικαίωμα να συλλέγουν, να χρησιμοποιούν και να μοιράζονται τα δεδομένα των χρηστών, προτού παρέχουν στο Facebook οποιαδήποτε δεδομένα. Ωστόσο, η προεπιλεγμένη εφαρμογή του SDK Facebook έχει σχεδιαστεί για να μεταδίδει αυτόματα δεδομένα συμβάντων στο Facebook.
Από τις 25 Μαΐου 2018 – την ημέρα που τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) – οι προγραμματιστές κατέθεταν αναφορές σφαλμάτων στην πλατφόρμα προγραμματιστών του Facebook, εγείροντας ανησυχίες ότι το SDK Facebook μοιράζεται αυτόματα δεδομένα, προτού οι εφαρμογές μπορέσουν να ζητήσουν από τους χρήστες να συμφωνήσουν ή να παρέχουν τη συγκατάθεσή τους.
Στις 28 Ιουνίου 2018, το Facebook κυκλοφόρησε ένα εθελοντικό χαρακτηριστικό (voluntary feature) που επιτρέπει στους προγραμματιστές να καθυστερούν τη συλλογή γεγονότων που έχουν καταγραφεί αυτόματα, έως ότου αποκτήσουν τη συγκατάθεση των χρηστών.
Το feature αυτό κυκλοφόρησε 35 ημέρες μετά την έναρξη ισχύος του GDPR και λειτουργεί μόνο στην έκδοση SDK 4.34 και επόμενες.
Απαντώντας στην έκθεση της Privacy Intrenational, το Facebook ανέφερε σε email προς την Privacy International στις 28 Δεκεμβρίου 2018: “Πριν από την εισαγωγή της επιλογής” καθυστέρηση (delay)”, οι προγραμματιστές είχαν τη δυνατότητα να απενεργοποιήσουν τη μετάδοση δεδομένων αυτόματης καταγραφής συμβάντων, εκτός από το σήμα ότι το SDK είχε εκκινήσει. Μετά την αλλαγή του Ιουνίου, καταργήσαμε και το σήμα ότι αυτό για όσου προγραμματιστές απενεργοποιούν την αυτόματη καταγραφή συμβάντων”
Η Privacy International υποθέτει ότι πριν από την απελευθέρωση αυτού του εθελοντικού χαρακτηριστικού (feature), πολλές εφαρμογές που χρησιμοποιούν το SDK του Facebook στο οικοσύστημα Android, δεν μπορούσαν να αποτρέψουν ή να καθυστερήσουν το SDK από το να συλλέγει και να μοιράζεται αυτόματα το “σήμα” αυτό. Τα δεδομένα αυτά που μεταδίδονται στο Facebook αποκαλύπτουν ότι ένας χρήστης χρησιμοποιεί μια συγκεκριμένη εφαρμογή, πότε τη χρησιμοποιεί και για πόσο καιρό.
Διαφάνεια στο Facebook και νομικά ζητήματα
Χωρίς περαιτέω διαφάνεια εκ μέρους του Facebook, είναι αδύνατο να γνωρίζει κανείς με βεβαιότητα πως χρησιμοποιούνται τα δεδομένα που περιγράφονται στην αναφορά.
Σύμφωνα με την Privacy International, αυτή είναι και η ιδιαιτερότητα της περίπτωσης, αφού το Facebook δεν είναι καθόλου “διαφανές” όσον αφορά στους τρόπους με τους οποίους χρησιμοποιούσε τα δεδομένα μη χρηστών του Facebook στο παρελθόν.
Τα ευρήματά της Privacy International εγείρουν επίσης ορισμένα σημαντικά νομικά ζητήματα.
Δεδομένου ότι η έρευνα αυτή διεξήχθη στο Ηνωμένο Βασίλειο, η Privacy Internationl εστίασε στο σχετικό πλαίσιο της ΕΕ, και συγκεκριμένα στον Κανονισμό GDPR, την οδηγία ePrivacy και τη νομοθεσία Ανταγωνισμού. Ένα υποβόσκων θέμα είναι η ευθύνη των διάφορων εμπλεκομένων παραγόντων, συμπεριλαμβανομένου και του Facebook.
Δείτε αναλυτικά την έρευνα της Privacy International και την αναλυτική τεκμηρίωση.