Procjenjuje se da tržište prodaja podatke o korisničkoj lokaciji prikupljenih s mobilnih telefona vrijedi više od 12 milijardi američkih dolara. Inače, trgovina digitalnim podacima u zapadnim zemljama je potpuno neregulirana.

Prikupljanje podataka o korisnicima protivno je europskoj uredni o zaštiti podataka (GDPR). SAD nema savezni zakon o privatnosti podataka, samo ga imaju neke države, poput Kalifornije koja ima Kalifornijski zakon o privatnosti (California Consumer Privacy Act of 2018 CCPA) , ipak savezni regulator zahtijeva od tvrtki koje izrađuju aplikacije da otkriju kome se prodaju podaci ali ne i same posrednike podataka.

Alati za prikupljanje podataka

Bez zakonodavstva koje regulira trgovinu podacima o lokaciji, Apple i Google suočili s problemom posrednika podataka koji prodaju komplete za razvoj softvera (Software development kit SDK) programerima aplikacija – poput X-Modea (sada poznatog kao Outlogic). Naime, postalo je uobičajeno da programeri aplikacija ugrađuju SDK-ove kako bi dodali značajke svojim aplikacijama bez potrebe da ih izrađuju od nule, ali ti su SDK-ovi posebno dizajnirani za slanje podataka o lokaciji korisnika aplikacije posrednicima podataka.

-- tekst se nastavlja nakon oglasa --

 

App Store

Appleova politika zahtijeva od aplikacija da otkriju koje podatke prikupljaju od ljudi i kako se oni mogu koristiti te da dobiju pristanak korisnika prije dijeljenja njihovih podataka. Međutim, ne zahtijeva od aplikacija da otkriju točno kome prodaju podatke, a mnoge aplikacije jednostavno navode da dijele podatke s partnerima.

“Kako biste poslali nove aplikacije i ažuriranja aplikacija, morate na stranici proizvoda navesti informacije o nekim praksama prikupljanja podataka vaše aplikacije”, navodi Apple u svojoj politici privatnosti za razvojne programere. “Uz iOS 14.5, iPadOS 14.5 i tvOS 14.5 i novije verzije, od korisnika se traži njihovo dopuštenje da ih prati kroz aplikacije i web-mjesta u vlasništvu drugih tvrtki.”

Konkretno za podatke o lokaciji, nakon što korisnik da dopuštenja, Appleova politika napominje da ljudi podliježu pravilima o privatnosti i praksama aplikacija, što može uključivati ​​prodaju njihovih podataka.

Google Play

Googleova politika ide korak dalje, navodeći da programeri ne mogu prodavati osobne i osjetljive korisničke podatke, što uključuje lokaciju uređaja. Google također zahtijeva otkrivanje, tražeći od programera da “moraju biti transparentni u načinu na koji upotrebljavaju korisničke podatke”.

“Pravila Google Playa izričito zabranjuju aplikacijama koje prikupljaju osjetljive i osobne korisničke podatke da ih prodaju”, rekao je glasnogovornik Googlea Scott Westover neprofitnoj organizaciji za istraživanje velike kompanije i  institucije koriste tehnologiju The Markapu kada su ga pitali o tome kako Google provodi mjere protiv prodaje podataka o lokaciji.

Scott Westover, glasnogovornik Googlea

Apple ili Google ne mogu puno učiniti

Mnoge aplikacije uključuju komplet za razvoj softvera (SDK) koji je skriven u kodu aplikacije. Neki SDK-ovi pripadaju posrednicima lokacijskih podataka koji nude besplatne značajke ili isplate u zamjenu za uključenje u aplikaciju. Neki SDK-ovi prenose podatke izravno posrednicima podataka trećih strana, koji mogu prodati podatke o lokaciji ili ih analizirati radi uvida.

Apple i Google uočili su takve SDK-ove posrednika podataka te ih mogu skenirati a programerima mogu reći da ih uklone ili u suprotnom mogu im aplikaciju izbaciti iz svoje trgovine. No, nakon toga posrednici su prešli na nove metode. Ako programer aplikacije ima ugovor s posrednikom podataka o lokaciji, može dostaviti korisničke podatke izravno putem prijenosa poslužitelj-poslužitelj (server-to-server) i nema nema potrebe za ugradnjom SDK-a. Čini se da ta metoda događa izvan nadzora u trgovinama aplikacija kao što su Google Play i Apple Store i postaje sve češća u industriji.

Kako upozoravaju stručnjaci u industriji podataka o lokaciji za The Markup, postoji mnogo nedostataka u Appleovim i Googleovim pravilima koje (ne)dopuštaju prikupljanje podataka o lokaciji, čak i bez upotrebe tih SDK-ova.

Justin Sherman, stručnjak za cyber sigurnost u laboratoriju Duke Technology Policy Lab

Potrebna državna regulacija

Radnici u industriji podataka o lokaciji rekli su za The Markup da posrednici podataka sve više prikupljaju podatke izravno od programera aplikacija umjesto da se oslanjaju na SDK-ove, koji često ostavljaju digitalni otisak. I nejasno je kako bi Apple i Google uopće mogli pratiti kako aplikacije dijele i prodaju podatke nakon što ih dobiju.

“Pogled na SDK-ove jedan je od načina da pokušate zaštititi privatnost ljudi od posrednika podataka. Ali morate pogledati i sve druge načine na koje se to događa, uključujući komercijalne transakcije, gdje tvrtka A kaže tvrtki B da ćemo vam prodati ovaj skup podataka o GPS lokaciji ljudi”, rekao je stručnjak za cyber sigurnost u laboratoriju Duke Technology Policy Lab Justin Sherman.

Označavanje je otkrilo da je obiteljska sigurnosna aplikacija Life360 imala ugovore o izravnom prijenosu podataka o lokaciji o svojim korisnicima na poslužitelje nekih korisnika podataka.

“Jedina stvar koju trgovina aplikacijama može otkriti jest sadrži li aplikacija različite SDK-ove ili, kada je pokrenete, šalje podatke raznim poslužiteljima trećih strana”, rekao je istraživač na Međunarodnom institutu za računalnu znanost UC Berkeley Serge Egelman.

Bez državne regulative, Applea i Googlea mogu samo sustizati posrednike podataka za svaki novi način na koji se podaci o lokaciji mogu dijeliti, upozoravaju stručnjaci.

Serge Egelman, istraživač na Međunarodnom institutu za računalnu znanost UC Berkeley

Podijeli:

 

 

Vezane objave