Oppdatering - Steve Kondik fra Cyngn laget en svar på Google+ etter denne artikkelen. Dessverre klarer han ikke på noen måte å adressere det faktum at tjenesten han har valgt å integrere laster opp andres data, i stedet velger han å fokusere på prosessen med samtykkeforespørsel. Prosessen for brukeropt-in er uvesentlig, siden personer hvis data er lastet opp, ikke får se den samtykkemeldingen – appen laster opp andres data uten deres samtykke.
Truecaller, et selskap mange kanskje ikke har hørt om, har nettopp gjort det annonsert en avtale om å samarbeide med Cyngn, den kommersielle delen av CyanogenMod. Ved første øyekast, en fin kobling for å integrere Truecaller-funksjoner i Cyngn OS-oppringeren.
Truecaller er dessverre et litt interessant selskap, med litt interessante måter å drive forretning på. Forretningsmodellen deres er absolutt tvilsom i beste fall (og potensielt mye verre) - når du bruker Truecallers "forbedrede søk"-funksjon (som stort sett er raisønn d'être av produktet), godtar du at Truecaller har lov til å samle inn og dele kontaktinformasjon fra telefonen din med andre brukere av tjenesten.
"Vel, det er rett og slett feil", hører jeg dere skarpsindige lesere si. "De kan vel ikke bare dele folks kontaktinformasjon med andre?" Vi vil... du vil konvensjonelt ha rett - juridisk sett, i det minste i Europa, ville dette være ulovlig. Databeskyttelsesdirektivet er en ganske langvarig lovgivning som dekker slike saker, og vi kommer tilbake for å ta en titt på det senere, til fordel for våre europeiske brukere.
Den "utgang" som Truecaller bruker er gjemt bort i deres Vilkår for bruk, hvor de på magisk vis prøver å orme seg ut av dette:
Ved å tillate at kontaktinformasjon samles inn, gir du Truecaller rett til å bruke denne kontaktinformasjonen som en del av tjenesten og du garanterer at du har alle tillatelser som kreves for å dele slik kontaktinformasjon med oss. Du kan velge bort for å forhindre deling av kontaktinformasjon når som helst.
Ja, det er rett... Du hørte det riktig. Du, sluttbrukeren, må godta at alle kontaktene dine har gitt deg samtykke til å laste opp dataene deres til Truecaller. De hevder å ha 1,6 milliarder menneskers telefonnumre søkbare, slik at du kan søke etter nummeret deres. Her er et spørsmål - hvor mange personer som har sendt inn kontaktopplysningene sine til denne tjenesten har fått tillatelse til å gjøre dette? Visst, du kan velge bort å sende dem data, men det er ikke mye nytte, siden det er umulig å virkelig velge bort at noen andre deler dataene dine. Faktisk, mens Truecaller tilbyr en mulighet til å ha deg selv avnotert, dette krever at du vet at de har dataene dine i utgangspunktet.
For å gå tilbake til EUs personverndirektiv, her er noen interessante utsagn som er relevante her:
a) «personopplysninger»: all informasjon knyttet til en identifisert eller identifiserbar fysisk person («registrert»); en identifiserbar person er en som kan identifiseres, direkte eller indirekte, spesielt ved henvisning til en identifikasjonsnummer eller til en eller flere faktorer som er spesifikke for hans fysiske, fysiologiske, mentale, økonomiske, kulturelle eller sosial identitet;"
Siden navnet ditt er informasjon relatert til deg, som en identifiserbar person, er all data knyttet til deg "personopplysninger".
«den registrertes samtykke» skal bety enhver fritt gitt spesifikk og informert indikasjon om hans ønsker som den registrerte gir samtykke til at personopplysninger knyttet til ham er Bearbeidet."
Dette definerer betydningen av samtykke innenfor lovens kontekst, og krever at folk gir en informert indikasjon at deres data kan behandles (behandling dekker enhver form for manuell eller automatisk operasjon på dataene, inkludert Oppbevaring!)
Den viktigste delen av lovgivningen er imidlertid artikkel 7, som dekker omstendighetene under hvilke personopplysninger kan behandles. La oss ta en titt på disse.
Medlemsstatene skal sørge for at personopplysninger bare kan behandles dersom:
(a) den registrerte har utvetydig gitt sitt samtykke; eller
Du er den registrerte; ikke personen som laster det opp. Du har derfor ikke gitt ditt samtykke.
(b) behandling er nødvendig for å oppfylle en kontrakt som den registrerte er part i, eller for å iverksette tiltak på forespørsel fra den registrerte før en kontrakt inngås; eller
Siden du ikke er klar over om noen bestemmer seg for å sende dataene dine til Truecaller, inngår du tydeligvis ikke en kontrakt. Du må være klar over det, og velge å bli part i en slik kontrakt.
(c) behandling er nødvendig for å overholde en juridisk forpliktelse som den behandlingsansvarlige er underlagt; eller
Det er ingen juridisk forpliktelse på Truecaller til å tilby denne tjenesten, eller å samle inn data.
(d) behandling er nødvendig for å beskytte den registrertes vitale interesser; eller
Dine vitale interesser blir ikke beskyttet av Truecaller, slik at noen kan finne ut navnet ditt fra telefonnummeret ditt. Faktisk er det mer sannsynlig at din vitale interesse for personvern (en menneskerettighet) blir krenket av dette.
(e) behandling er nødvendig for å utføre en oppgave utført i allmennhetens interesse eller i utøvelse av offentlig myndighet hos den behandlingsansvarlige eller hos en tredjepart som dataene er til avslørt; eller
Dette nærmer seg ikke å være i allmennhetens interesse, og det er heller ikke offentlig myndighet til å utføre behandlingen.
(f) behandling er nødvendig for formålet med de legitime interessene som forfølges av den behandlingsansvarlige eller av tredjeparten eller partene som dataene er til avsløres, unntatt der slike interesser overstyres av interessene for grunnleggende rettigheter og friheter til den registrerte som krever beskyttelse i henhold til Artikkel 1 nr. 1.
Artikkel 1 krever at «fysiske personers grunnleggende rettigheter og friheter, og spesielt deres rett til privatliv med hensyn til behandling av personopplysninger» er beskyttet. Denne klausulen kommer ikke til å hjelpe dem.
Som sådan foreslår jeg at Truecaller ikke har noen juridisk tillatelse til å behandle personopplysninger fra ikke-brukere av tjenesten. Data den samler inn fra andre er ikke deres data - det er klart og åpenbart personopplysningene til andre registrerte. Disse menneskene har (etter mitt syn) et gyldig rettskrav mot Truecaller. Siden Truecaller er basert i Sverige, som er et medlemsland av EU, gjelder databeskyttelsesdirektivet for dem.
Å se denne typen funksjon integrert i noe som oppsto som en tilpasset firmware, ment å tilby valg og frihet for brukerne, er på grensen til ufattelig. Med Cyngn som prøver å være "anti Google", burde de kanskje ta en titt før de integrerer det siste #bigthing i produktet deres?
Kanskje det er på tide at de europeiske ofrene for Truecaller samles og får til en testsak om saken? Det ser ganske klart ut for meg. Truecaller har ikke samtykke fra de hvis data de behandler. Hvis handling var vellykket mot Truecaller, kan selskaper som Facebook være neste, gitt deres vaner med å "frigjøre" kontaktdataene dine til deres servere (uten samtykke fra de involverte), for å bygge skyggeprofiler av ikke-Facebook brukere. Gitt at vi allerede vet at Facebook har samlet inn, sortert og samlet så mye kontaktdata som mulig om brukere som ikke har tjenester (som ikke har samtykket til at Facebook behandler dataene deres), kanskje deres tilstedeværelse i Irland burde skrive ut en kopi av databeskyttelsesdirektivet og ta en lese?