- Coraz więcej aplikacji, coraz więcej danych. Kontrolę nad swoimi danymi tracą – często na własne życzenie: zgodnie ze swoją nieświadomością i/lub lekkomyślnością - użytkownicy a giganci mediów społecznościowych nie są w stanie, jak pokazują wyniki dochodzenia, zapanować nad przestrzeganiem opracowanych przez siebie reguł.
22 lutego 2019 roku, w Wall Street Journal (WSJ) ukazał się artykuł poświęcony przekazywaniu danych wrażliwych do Facebook-a przez aplikacje używane na smarfonach, nawet jeżeli użytkownik nie miał konta na FB.
Rzecz dotyczy nie tylko samego Facebook-a (FB) ale również twórców różnorakich aplikacji wykorzystywanych przez użytkowników smartfonów. Cóż się bowiem okazało. Redakcja WSJ zleciła przeprowadzenie testów kilkudziesięciu aplikacji wykorzystywanych przez użytkowników w związku z różnymi sytuacjami życiowymi, na przykład:
– odchudzaniem się,
– przebiegiem ciąży,
– zakupem nieruchomości.
Dane, których przepływ poddano obserwacji (poza danymi pozwalającymi w ogóle korzystać z tych aplikacji) obejmowały na przykład wzrost, masę ciała, ciśnienie krwi / tętno, cykle miesiączkowe, stan ciąży a nawet zgłoszony przez daną użytkowniczkę zamiar zajścia w ciążę jak również ceny i lokalizacje nieruchomości, które zainteresowały użytkowników (polubili oferty) rozważających zakup.
Koniec końców, Gubernator Stanu Nowy York nakazał Departamentowi Usług Finansowych przeprowadzenie postępowania wyjaśniającego.
18 lutego br., Departament Usług Finansowych stanu Nowy York (New York State Department of Financial Services) opublikował raport z postępowania prowadzonego w sprawie prywatności danych gromadzonych przez Facebook, zatytułowany: „Report on Investigation of Facebook Inc. Data Privacy Concerns”.
Wprawdzie w Raporcie używa się zwrotu „investigation” co oznacza śledztwo (dochodzenie) ale treść Raportu wskazuje, że nie było to dochodzenie w takim sensie, w jakim rozumiemy je w Polsce. Dlaczego zajął się tym wydział Usług Finansowych? Proste, stan Nowy York udzielił Facebook-owi licencji na przekazywanie pieniędzy przez podmiot zależny o nazwie Facebook Payments.
Sam Facebook oczywiście wyraził gotowość do współpracy w dochodzeniu, ale odrzucił zarzuty twierdząc, że to problem innych aplikacji i ich sposobów wykorzystywania danych do tworzenia reklam.
Co zawiera Raport?
Raport składa się z 4 części:
1. Wskazanie podstawy dochodzenia i wyjaśnienie mechanizmów pozyskiwania przez FB różnych rodzajów danych od zewnętrznych twórców aplikacji.
Facebook oferuje programistom aplikacji, którzy pobierają pakiet Software Development Kit („SDK”) Facebooka, dostęp do bezpłatnych usług analizy danych. Jedno z narzędzi tego pakietu umożliwia twórcom aplikacji integrację Facebooka z ich aplikacją poprzez automatyczne przesyłanie danych z aplikacji mobilnej lub strony internetowej do Facebooka. W celu, oczywiście, analizy danych. Jak zapisano w Raporcie:
„Wynikowa analiza pomaga twórcom aplikacji zrozumieć, w jaki sposób ludzie korzystają z ich usług, które można następnie wykorzystać do własnych celów reklamowych i marketingowych, generując dodatkowe przychody zarówno na Facebook-u, jak i poza nim.”
W tej części raportu dość szczegółowo wskazano jakie dane i w jakich okolicznościach trafiały do Facebook-a a także zasady i sposoby wykorzystania tych danych przez FB.
2. Opis przebiegu postępowania i zakresu współpracy z FB.
Okazuje się, że Facebook przyznał, iż do czasu rozpoczęcia dochodzenia Facebook rutynowo uzyskiwał wrażliwe dane od twórców aplikacji, w szczególności w zakresie informacji związanych ze zdrowiem. Mimo, że było to niezgodnie z własnymi zasadami Facebook-a. Jak stwierdzono, wewnętrzne mechanizmy kontrolne w FB nie były skuteczne.
Wskazano również, że FB „nie dostarczył wystarczających szczegółowych informacji, między innymi o tym, jakie rodzaje wrażliwych informacji uzyskano, jak często został odebrany lub którzy twórcy aplikacji naruszyli zasady, przesyłając takie informacje”.
Generalnie doceniono zaangażowanie FB w dochodzenie ale:
„Chociaż Facebook na ogół współpracował przy dochodzeniu Departamentu, odmówił podjęcia odpowiedniej rewizji wstecznej, która dostarczyłaby szczegółowych informacji na temat zakresu i skali niewłaściwego przekazywania wrażliwych danych osobowych”.
Jednocześnie NYSDoFS – jak zapisano w treści Raportu – wzywa federalne organy regulacyjne z ogólnokrajową jurysdykcją nad Facebookiem, aby zmusiły Facebooka do zapewnienia pełnej przejrzystości w tej kwestii.
3. Opis środków zaradczych, które Facebook podjął w wyniku dochodzenia, w tym:
– usprawnienia w zakresie wykrywania i blokowania przez Facebook danych wrażliwych na podstawie tzw. listy zawierające 70 tys. pojęć odnoszących się do:
- Chorób, schorzeń i urazów;
- Zdrowia seksualnego;
- Zdrowia psychicznego;
- Rodzajów urządzeń medycznych i monitorów stanu zdrowia;
- Procedur medycznych;
- Leków i suplementów;
- Funkcjonowania organizmu i cyklów biologicznych;
- Fizycznych lokalizacji dotyczących m.in miejsca leczenia.
– zapewnienie dodatkowych szkoleń dla programistów w zakresie nieprzekazywania wrażliwych informacji,
– wprowadzenie przez FB funkcji „Aktywność poza Facebookiem”, wspierającą większą kontrolę użytkowników nad przekazywanymi przez nich danymi.
4. Zalecenia Departamentu Usług Finansowych Stanu Nowy York obejmujące m.in. dodatkowe kontrole producentów aplikacji, skuteczniejsze egzekwowanie zasad i procedur samego Facebook-a oraz potrzebę wzmocnionego nadzoru regulacyjnego nad podmiotami dominującymi w obszarze mediów społecznościowych oraz nad danymi gromadzonymi przez firmy analityczne.
Słusznie zwrócono uwagę, że problem nie dotyczy tylko Facebook-a a wszystkich firm z branży mediów społecznościowych.
Czego Raport nie zawiera?
Raport nie zawiera listy firm, które świadczyły usługi poprzez aplikacje które przekazywały dane wrażliwe do Facebooka.
Raport ma 21 stron i powinien być lekturą obowiązkową przede wszystkim dla użytkowników mediów społecznościowych. Naszym zdaniem, problem utraty prywatności w mediach społecznościowych i nie tylko w nich, jest przede wszystkim problemem użytkowników, często nieświadomych ale równie często a może nawet częściej – niefrasobliwych, czytaj: naiwnych.