Opdatering - Steve Kondik fra Cyngn lavede en svar på Google+ efter denne artikel. Desværre undlader han på nogen måde at forholde sig til det faktum, at den service, han har valgt at integrere, uploader andres data, men vælger i stedet at fokusere på samtykkeanmodningsprocessen. Deres brugeropt-in-proces er uvæsentlig, da personer, hvis data er uploadet, ikke kan se den samtykkemeddelelse - appen uploader andres data uden deres samtykke.
Truecaller, et firma mange måske ikke har hørt om, har netop annonceret en aftale om partnerskab med Cyngn, den kommercielle del af CyanogenMod. Ved første øjekast er det en fin forbindelse til at integrere Truecaller-funktioner i Cyngn OS-opkalderen.
Desværre er Truecaller dog en noget interessant virksomhed, med lidt interessante måder at drive forretning på. Deres forretningsmodel er bestemt tvivlsom i bedste fald (og potentielt meget værre) - når du bruger Truecallers "forbedrede søgning"-funktion (som stort set er raisøn d'être af produktet), accepterer du, at Truecaller har tilladelse til at indsamle og dele kontaktoplysninger fra din telefon med andre brugere af tjenesten.
"Jamen det er simpelthen forkert", hører jeg jer kloge læsere sige. "De kan vel ikke bare dele folks kontaktoplysninger med andre?" Godt... du ville konventionelt have ret - juridisk set, i det mindste i Europa, ville dette være ulovligt. Databeskyttelsesdirektivet er et ret langt stykke lovgivning, som dækker sådanne forhold, og vi vender tilbage for at se på det senere til gavn for vores europæiske brugere.
Den "get-out", som Truecaller bruger, er gemt væk i deres Servicevilkår, hvor de på magisk vis forsøger at orme sig ud af dette:
Ved at tillade, at kontaktoplysninger indsamles, giver du Truecaller ret til at bruge disse kontaktoplysninger som en del af tjenesten, og du garanterer, at du har alle nødvendige tilladelser til at dele sådanne kontaktoplysninger med os. Du kan til enhver tid fravælge for at forhindre deling af kontaktoplysninger.
Yeah, det er rigtigt... Du hørte det rigtigt. Du, slutbrugeren, skal acceptere, at alle dine kontakter har givet dig samtykke til at uploade deres data til Truecaller. De hævder at have 1,6 milliarder menneskers telefonnumre søgbare, så du kan søge efter deres nummer. Her er et spørgsmål - hvor mange personer, der har indsendt deres kontaktoplysninger til denne tjeneste, har fået tilladelse til at gøre dette? Selvfølgelig kan du fravælge at sende dem data, men det nytter ikke meget, da det er umuligt virkelig at fravælge, at en anden skal dele dine data. Faktisk, mens Truecaller tilbyder en mulighed for at få dig selv afnoteret, dette kræver, at du ved, at de opbevarer dine data i første omgang.
For at vende tilbage til EU's databeskyttelsesdirektiv, her er et par interessante udsagn, der er relevante her:
a) "personoplysninger": enhver information vedrørende en identificeret eller identificerbar fysisk person ("den registrerede"); en identificerbar person er en person, der kan identificeres, direkte eller indirekte, især ved henvisning til en identifikationsnummer eller til en eller flere faktorer, der er specifikke for hans fysiske, fysiologiske, mentale, økonomiske, kulturelle eller social identitet"
Da dit navn er oplysninger, der vedrører dig, som en identificerbar person, er alle data, der vedrører dig, "personlige data".
"den registreredes samtykke" betyder enhver frit givet specifik og informeret angivelse af dennes ønsker, hvormed den registrerede tilkendegiver sit samtykke til, at personoplysninger, der vedrører ham, er behandlet."
Dette definerer betydningen af samtykke inden for lovens kontekst, hvilket kræver, at folk giver en informeret indikation at deres data kan behandles (behandling omfatter enhver form for manuel eller automatisk betjening af dataene, herunder opbevaring!)
Den vigtigste del af lovgivningen er dog artikel 7, som dækker de omstændigheder, hvorunder personoplysninger kan behandles. Lad os tage et kig på disse.
Medlemsstaterne sørger for, at personoplysninger kun må behandles, hvis:
a) den registrerede har utvetydigt givet sit samtykke eller
Du er den registrerede; ikke den person, der uploader det. Du har derfor ikke givet dit samtykke.
(b) behandlingen er nødvendig for opfyldelsen af en kontrakt, som den registrerede er part i, eller for at tage skridt på den registreredes anmodning forud for indgåelse af en kontrakt; eller
Da du ikke er klar over, hvis nogen beslutter at sende dine data til Truecaller, indgår du tydeligvis ikke en kontrakt. Du skal være opmærksom på det og vælge at blive part i en sådan kontrakt.
(c) behandlingen er nødvendig for at overholde en juridisk forpligtelse, som den dataansvarlige er underlagt; eller
Der er ingen juridisk forpligtelse for Truecaller til at levere denne service eller til at indsamle data.
(d) behandling er nødvendig for at beskytte den registreredes vitale interesser; eller
Dine vitale interesser bliver ikke beskyttet af Truecaller, så nogen kan finde dit navn fra dit telefonnummer. Faktisk er din vitale interesse i privatlivets fred (en menneskerettighed) mere sandsynligt at blive krænket af dette.
e) behandlingen er nødvendig for udførelsen af en opgave, der udføres i offentlighedens interesse eller i udøvelse af offentlig myndighed hos den dataansvarlige eller hos en tredjepart, som oplysningerne er til afsløret; eller
Dette nærmer sig ikke at være i offentlighedens interesse, og der er heller ikke officiel myndighed til at udføre behandlingen.
(f) behandlingen er nødvendig af hensyn til de legitime interesser, der forfølges af den dataansvarlige eller af den eller de tredjeparter, til hvem oplysningerne er videregives, undtagen hvor sådanne interesser tilsidesættes af den registreredes grundlæggende rettigheder og frihedsrettigheder, som kræver beskyttelse i henhold til Artikel 1, stk.
Artikel 1 kræver, at "fysiske personers grundlæggende rettigheder og friheder, og især deres ret til privatlivets fred med hensyn til behandling af personoplysninger" er beskyttet. Denne klausul vil ikke hjælpe dem.
Som sådan foreslår jeg, at Truecaller ikke har nogen juridisk tilladelse til at behandle personlige data fra ikke-brugere af deres tjeneste. Data, den indsamler fra andre, er ikke deres data - det er klart og tydeligt andre registreredes personoplysninger. Disse mennesker har (efter min mening) et gyldigt retskrav mod Truecaller. Da Truecaller er baseret i Sverige, som er et medlemsland af EU, gælder databeskyttelsesdirektivet for dem.
At se denne form for funktion integreret i noget, der opstod som en brugerdefineret firmware, beregnet til at tilbyde valg og frihed for sine brugere, er på grænsen til uoverskueligt. Da Cyngn forsøger at være "anti-Google", burde de måske tage et kig, før de integrerer det seneste #bigthing i deres produkt?
Måske er det på tide, at de europæiske ofre for Truecaller tager sig sammen og laver en testsag om sagen? Det ser ret overskueligt ud for mig. Truecaller har intet samtykke fra dem, hvis data de behandler. Hvis handling var vellykket mod Truecaller, kunne virksomheder som Facebook være de næste, givet deres vaner med at "befri" dine kontaktdata til deres servere (uden samtykke fra de involverede), for at opbygge skyggeprofiler af ikke-Facebook brugere. Da vi allerede ved, har Facebook indsamlet, samlet og samlet så mange kontaktdata som muligt om ikke-servicebrugere (som ikke har har givet sit samtykke til, at Facebook behandler deres data), måske skulle deres tilstedeværelse i Irland udskrive en kopi af databeskyttelsesdirektivet og tage en Læs?