Uppdatering - Steve Kondik från Cyngn gjorde en svara på Google+ efter denna artikel. Tyvärr misslyckas han med att på något sätt ta upp det faktum att tjänsten han har valt att integrera laddar upp andras data, utan väljer istället att fokusera på processen för samtyckesbegäran. Deras användaropt-in-process är oväsentlig, eftersom personer vars data laddas upp inte kommer att se det samtyckesmeddelandet - appen laddar upp andras data utan deras samtycke.
Truecaller, ett företag som många kanske inte har hört talas om, har just gjort det meddelat ett avtal om partnerskap med Cyngn, den kommersiella delen av CyanogenMod. Vid första anblicken, en trevlig koppling för att integrera Truecaller-funktioner i Cyngn OS-uppringaren.
Tyvärr är dock Truecaller ett lite intressant företag, med något intressanta sätt att göra affärer på. Deras affärsmodell är i bästa fall tveksam (och potentiellt mycket värre) - när du använder Truecallers "förbättrade sökning"-funktion (som i stort sett är raison d'ê
"Det är helt enkelt fel", hör jag er kloka läsare säga. "De kan visst inte bara dela folks kontaktuppgifter med andra?" Väl... du skulle vanligtvis ha rätt - juridiskt sett, åtminstone inom Europa, skulle detta vara olagligt. Dataskyddsdirektivet är en ganska lång lagstiftning som täcker sådana frågor, och vi återkommer för att ta en titt på det senare, till förmån för våra europeiska användare.
Den "get-out" som Truecaller använder är gömd i deras Användarvillkor, där de på magiskt sätt försöker ta sig ur detta:
Genom att tillåta att kontaktinformation samlas in ger du Truecaller rätt att använda den kontaktinformationen som en del av tjänsten och du garanterar att du har alla behörigheter som krävs för att dela sådan kontaktinformation med oss. Du kan välja bort för att förhindra delning av kontaktinformation när som helst.
Ja det är rätt... Du hörde det rätt. Du, slutanvändaren, måste godkänna att alla dina kontakter har gett dig samtycke till att ladda upp deras data till Truecaller. De hävdar att de har 1,6 miljarder människors telefonnummer sökbara, så att du kan söka efter deras nummer. Här är en fråga - hur många personer som skickade in sina kontaktuppgifter till den här tjänsten fick tillstånd att göra detta? Visst, du kan välja bort att skicka data till dem, men det är inte till stor nytta, eftersom det är omöjligt att verkligen välja bort att någon annan delar din data. Ja, medan Truecaller erbjuder en möjlighet att få dig själv avlistad, detta kräver att du vet att de har din data i första hand.
För att återgå till EU: s dataskyddsdirektiv, här är några intressanta påståenden som är relevanta här:
a) personuppgifter: all information som avser en identifierad eller identifierbar fysisk person (den registrerade). en identifierbar person är en som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, mentala, ekonomiska, kulturella eller social identitet;"
Eftersom ditt namn är information som relaterar till dig, som en identifierbar person, är all data som rör dig "personlig data".
”den registrerades samtycke” avser varje fritt given specifik och informerad uppgift om dennes önskemål genom vilka den registrerade anger sitt samtycke till personuppgifter som hänför sig till honom bearbetas."
Detta definierar innebörden av samtycke inom ramen för lagen, vilket kräver att människor ger en informerad indikation att deras uppgifter kan behandlas (behandling omfattar alla former av manuell eller automatisk drift av uppgifterna, inklusive lagring!)
Den viktigaste delen av lagstiftningen är dock artikel 7, som omfattar de omständigheter under vilka personuppgifter får behandlas. Låt oss ta en titt på dessa.
Medlemsstaterna ska föreskriva att personuppgifter endast får behandlas om:
(a) den registrerade har otvetydigt gett sitt samtycke; eller
Du är den registrerade; inte personen som laddar upp det. Du har därför inte gett ditt samtycke.
(b) Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan ett avtal ingås. eller
Eftersom du inte är medveten om om någon bestämmer sig för att skicka din data till Truecaller, ingår du uppenbarligen inte något kontrakt. Du måste vara medveten om det och välja att bli part i ett sådant avtal.
(c) Behandlingen är nödvändig för att uppfylla en rättslig skyldighet som den registeransvarige är föremål för; eller
Det finns ingen juridisk skyldighet för Truecaller att tillhandahålla denna tjänst eller att samla in data.
(d) Behandlingen är nödvändig för att skydda den registrerades vitala intressen. eller
Dina vitala intressen skyddas inte av Truecaller som tillåter vem som helst att ta reda på ditt namn från ditt telefonnummer. Det är faktiskt mer sannolikt att ditt vitala intresse av integritet (en mänsklig rättighet) kränks av detta.
e) Behandlingen är nödvändig för att utföra en uppgift som utförs i allmänhetens intresse eller i utövande av officiell myndighet som ligger hos den registeransvarige eller hos en tredje part som uppgifterna avser avslöjat; eller
Detta närmar sig inte att det ligger i allmänhetens intresse, och det finns inte heller officiell befogenhet att utföra behandlingen.
(f) behandlingen är nödvändig för ändamålen för de berättigade intressen som eftersträvas av den registeransvarige eller av den eller de tredje parterna till vilka uppgifterna är lämnas ut, utom där sådana intressen åsidosätts av den registrerades intressen för grundläggande rättigheter och friheter som kräver skydd enligt Artikel 1.1.
Artikel 1 kräver att "fysiska personers grundläggande rättigheter och friheter, och i synnerhet deras rätt till privatliv med avseende på behandling av personuppgifter" skyddas. Den här klausulen kommer inte att hjälpa dem.
Som sådan föreslår jag att Truecaller inte har något lagligt tillstånd att behandla personuppgifter från icke-användare av tjänsten. Data som den samlar in från andra är inte deras data – det är tydligt och tydligt andra registrerades personuppgifter. Dessa personer har (enligt min uppfattning) ett giltigt rättsligt anspråk mot Truecaller. Eftersom Truecaller är baserat i Sverige, som är en medlemsstat i Europeiska Unionen, gäller dataskyddsdirektivet för dem.
Att se denna typ av funktion integrerad i något som har sitt ursprung som en anpassad firmware, menad att erbjuda val och frihet för sina användare, är på gränsen till outgrundligt. Eftersom Cyngn försöker vara "anti-Google", kanske de borde ta en titt innan de integrerar det senaste #bigthing i sin produkt?
Kanske är det dags för de europeiska offren för Truecaller att samlas och få till stånd ett testfall i frågan? Det ser ganska tydligt ut för mig. Truecaller har inget samtycke från dem vars data de behandlar. Om åtgärderna var framgångsrika mot Truecaller, kan företag som Facebook vara nästa, med tanke på deras vanor att "befria" dina kontaktuppgifter till deras servrar (utan medgivande från de inblandade), för att bygga skuggprofiler av icke-Facebook användare. Eftersom vi redan vet att Facebook har samlat in, sammanställt och samlat så mycket kontaktdata som möjligt om användare som inte är tjänstemän (som inte har samtyckt till att Facebook behandlar deras data), kanske deras närvaro i Irland borde skriva ut en kopia av dataskyddsdirektivet och ta en läsa?