Оновлення – Стів Кондік із Cyngn зробив a відповісти в Google+ після цієї статті. На жаль, він жодним чином не звертає уваги на той факт, що служба, яку він обрав для інтеграції, завантажує дані інших людей, натомість вирішує зосередитися на процесі запиту згоди. Їхній процес згоди користувача не має значення, оскільки люди, чиї дані завантажуються, не зможуть побачити це повідомлення про згоду – програма завантажує дані інших людей без їхньої згоди.
Truecaller, компанія, про яку багато хто, можливо, не чули, щойно з’явилася оголосив угода про партнерство з Cyngn, комерційним підрозділом CyanogenMod. На перший погляд, гарний зв’язок для інтеграції функцій Truecaller у номеронабирач ОС Cyngn.
Однак, на жаль, Truecaller є дещо цікавою компанією з дещо цікавими способами ведення бізнесу. Їхня бізнес-модель, безумовно, сумнівна в кращому випадку (і потенційно набагато гірше) – коли ви використовуєте функцію «розширеного пошуку» Truecaller (яка майже райсин д'єтре продукту), ви погоджуєтеся з тим, що Truecaller має право збирати контактну інформацію з вашого телефону та передавати її іншим користувачам служби.
"Ну, це просто неправильно", я чую, як ви говорите проникливі читачі. «Звичайно, вони не можуть просто поділитися контактною інформацією людей з іншими?» Добре... за умовчанням ви маєте рацію – юридично, принаймні в Європі, це було б незаконним. Директива про захист даних — це досить об’ємний законодавчий акт, який охоплює такі питання, і ми повернемося до нього пізніше, щоб допомогти нашим європейським користувачам.
"Вихід", який використовує Truecaller, прихований у них Умови використання, де вони магічним чином намагаються вибратися з цього:
Дозволяючи збирати контактну інформацію, ви надаєте Truecaller право використовувати цю контактну інформацію як частину Сервісу, і ви гарантуєте, що маєте будь-які дозволи, необхідні для надання такої Контактної інформації нас. Ви можете в будь-який час відмовитися від розголошення контактної інформації.
Так, саме так... Ви правильно почули. Ви, кінцевий користувач, маєте погодитися з тим, що всі ваші контакти дали вам згоду на завантаження їхніх даних у Truecaller. Вони стверджують, що мають 1,6 мільярда телефонних номерів людей, доступних для пошуку, що дозволяє шукати їхні номери. Ось питання - скільки людей, які надали свої контакти на цей сервіс, отримали дозвіл на це? Звичайно, ви можете відмовитися від надсилання їм даних, але це мало користі, оскільки неможливо насправді відмовитися від того, щоб хтось інший ділився вашими даними. Дійсно, в той час як Truecaller пропонує можливість мати себе виключений зі списку, це вимагає від вас знати, що вони зберігають ваші дані в першу чергу.
Щоб повернутися до Директива ЄС про конфіденційність даних, ось кілька цікавих тверджень, які тут актуальні:
(a) «персональні дані» означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи («суб’єкта даних»); особа, яку можна ідентифікувати, — це особа, яку можна ідентифікувати прямо чи опосередковано, зокрема шляхом посилання на ідентифікаційний номер або один чи більше факторів, характерних для його фізичного, фізіологічного, розумового, економічного, культурного або соціальна ідентичність;"
Оскільки ваше ім’я є інформацією, що стосується вас, як особи, яку можна ідентифікувати, будь-які дані, що стосуються вас, є «персональними даними».
«згода суб'єкта даних» означає будь-яку вільно надану конкретну та інформовану вказівку побажання, за допомогою яких суб'єкт даних підтверджує свою згоду на персональні дані, що стосуються його існування оброблено».
Це визначає значення згоди в контексті закону, вимагаючи, щоб люди давали інформовану вказівку що їх дані можуть бути оброблені (обробка охоплює будь-яку форму ручної або автоматичної операції з даними, у тому числі зберігання!)
Однак найважливішою частиною законодавства є стаття 7, яка охоплює обставини, за яких персональні дані можуть оброблятися. Давайте подивимось на них.
Держави-члени передбачають, що персональні дані можуть оброблятися, лише якщо:
(a) суб’єкт даних однозначно дав свою згоду; або
Ви є суб’єктом даних; а не особа, яка його завантажує. Отже, ви не дали своєї згоди.
(b) обробка необхідна для виконання контракту, стороною якого є суб’єкт даних, або для того, щоб вжити заходів на запит суб’єкта даних перед укладенням контракту; або
Оскільки ви не знаєте, якщо хтось вирішить надіслати ваші дані Truecaller, ви явно не укладаєте договір. Ви повинні знати про це та обрати участь у такому контракті.
(c) обробка необхідна для дотримання юридичного зобов’язання, якому підлягає контролер; або
Компанія Truecaller не зобов’язана надавати цю послугу чи збирати дані.
(d) обробка необхідна для захисту життєво важливих інтересів суб’єкта даних; або
Truecaller не захищає ваші життєво важливі інтереси, дозволяючи будь-кому дізнатися ваше ім’я за вашим номером телефону. Дійсно, ваш життєво важливий інтерес до конфіденційності (права людини) швидше за все порушується цим.
(e) обробка необхідна для виконання завдання, яке виконується в суспільних інтересах або в здійснення офіційних повноважень, наданих контролеру або третій стороні, якій належать дані розкритий; або
Це не відповідає суспільним інтересам, а також немає офіційних повноважень для виконання обробки.
(f) обробка необхідна для цілей законних інтересів, яких переслідує контролер або третя сторона або сторони, яким дані розголошується, за винятком випадків, коли такі інтереси переважають інтересами основних прав і свобод суб’єкта даних, які потребують захисту відповідно до Стаття 1 (1).
Стаття 1 вимагає, щоб «фундаментальні права і свободи фізичних осіб, і зокрема їхнє право на недоторканність приватного життя щодо обробки персональних даних», були захищені. Цей пункт їм не допоможе.
Таким чином, я припускаю, що Truecaller не має законного дозволу на обробку будь-яких особистих даних тих, хто не користується його послугами. Дані, які він збирає від інших, не є їхніми даними – це явно та явно особисті дані інших суб’єктів даних. Ці люди мають (на мій погляд) дійсні юридичні претензії проти Truecaller. Оскільки компанія Truecaller розташована у Швеції, яка є членом Європейського Союзу, на них поширюється Директива про захист даних.
Побачити таку функцію, інтегровану в щось, що виникло як користувальницька прошивка, призначена для надання вибору та свободи своїм користувачам, межує з неймовірним. З огляду на те, що Cyngn намагається бути «анти Google», можливо, їм варто поглянути, перш ніж інтегрувати останні #bigthing у свій продукт?
Можливо, європейським жертвам Truecaller настав час зібратися разом і провести перевірку цього питання? Мені це виглядає досить чітко. Truecaller не має згоди від тих, чиї дані вони обробляють. Якщо дії проти Truecaller будуть успішними, наступними можуть бути такі компанії, як Facebook, враховуючи їхні звички «звільняти» ваші контактні дані на їхні сервери (без згоди залучених осіб), щоб створювати тіньові профілі не-Facebook користувачів. Враховуючи, що ми вже знаємо, що Facebook збирає, порівнює та об’єднує якомога більше контактних даних про користувачів, які не користуються послугами (які не дали згоду на обробку їхніх даних Facebook), можливо, їхня присутність в Ірландії повинна роздрукувати копію директиви про захист даних і взяти читати?