Nedávná vládní zpráva potvrzuje, že americké agentury, včetně celních a pohraničních úřadů, porušily zákon použitím údajů o poloze získaných z aplikací pro iPhone a Android. V roce 2020 se tvrdilo, že americká agentura pro imigrační a celní prosazování koupila získaná data, aby obešla zákony omezující používání údajů o poloze od telefonních společností. Agentura pak použila data ke sledování a nakonec zadržování imigrantů.
Agentury zakoupily přístup ke komerčním telemetrickým datům
Ministerstvo pro vnitřní bezpečnost (DHS) zprávu potvrdilo. Konkrétně byla zveřejněna nová zpráva Úřadu generálního inspektora nazvaná „CBP, ICE a tajná služba nedodržovaly zásady ochrany osobních údajů nebo nevytvářely dostatečné zásady před získáváním a používáním komerčních telemetrických dat“.
Zatímco části zprávy jsou redigovány, říká se v ní, že tyto agentury „zakoupily přístup ke komerčním telemetrickým datům (CTD) shromážděným z mobilních zařízení, která mimo jiné zahrnovala historickou polohu zařízení“. Zpráva podrobně popisuje vyšetřování několika vládních agentur, ale tato práce také odhalila případ jednotlivce v jedné agentuře využívající sledování polohy pro osobní použití.
„Zjistili jsme jeden případ, kdy, nesouvisející s vyšetřováním, zaměstnanec CBP nevhodně použil CTD ke sledování spolupracovníků,“ uvádí zpráva. „Jedinci řekli spolupracovníkům, že sledovali svou polohu pomocí CTD.“
Nakupování takových dat není nezákonné, ale..
V tom případě byla stížnost podána jiným zaměstnancem a byla „administrativně vyřešena“. Pro vládní agentury není nezákonné kupovat komerčně dostupná data pro použití při vyšetřování. Nicméně použití takových údajů „v rámci federální vlády je kontrolováno“ a agentury „jsou povinny provést posouzení dopadu na soukromí (PIA) před vývojem nebo pořízením IT, které shromažďuje, udržuje nebo šíří informace v identifikovatelné formě.
„CBP, ICE a Secret Service nedodržovaly zásady ochrany osobních údajů ministerstva ani nevyvinuly dostatečné zásady před pořízením a použitím CTD,“ pokračuje. „Konkrétně komponenty nedodržovaly zásady ochrany osobních údajů DHS a zákon z roku 2002 tím, že zajistily, že schválily CTD PIA.“
„K tomuto selhání došlo proto, že součásti neměly dostatečné vnitřní kontroly k zajištění souladu se zásadami ochrany osobních údajů DHS,“ uvádí zpráva, „a protože DHS Privacy nedodržovalo ani nevynucovalo své vlastní zásady a pokyny na ochranu soukromí.“
Co se stane dál?
Zpráva uvádí osm doporučení, která se týkají především vytváření nových postupů a jejich implementace. Vnitřní bezpečnost souhlasila se šesti z doporučení. Nejvýznamnější je, že odmítla doporučení zprávy, že používání všech takových lokalizačních údajů bude přerušeno, dokud nebudou zavedeny nové postupy.
„Nesouhlas,“ říká DHS v reakci. „CTD je důležitým přispěvatelem mise do vyšetřovacího procesu ICE, protože v kombinaci s dalšími informacemi a vyšetřovacími metodami může zaplnit mezery ve znalostech a vytvořit vyšetřovací stopy, které by jinak mohly zůstat skryté.“
„V souladu s tím,“ říká, „pokračující používání CTD umožňuje ICE HSI úspěšně plnit své poslání v oblasti vymáhání práva.“
Prodej dat jako běžná praxe
Samostatně bylo v roce 2018 zjištěno, že navzdory pravidlům ochrany osobních údajů App Store společnosti Apple v té době několik aplikací sledovalo přesné údaje o poloze a prodávalo je. Bylo například zjištěno, že WeatherBug prodává data včetně přesné zeměpisné délky a šířky 40 společnostem.
Apple v té době požadoval, aby aplikace anonymizovaly data předávaná inzerentům za účelem ochrany jednotlivců. Tato data byla shromážděna a prodána aplikačními firmami bez svolení uživatele. V roce 2018 Apple představil Intelligent Tracking Protection v Safari, aby tomu čelil.
V roce 2021 pak Apple představil App Tracking Transparency. Vyžaduje, aby všechny aplikace výslovně požádaly o povolení ke sledování uživatele. Není divu, že když jim byla předložena informace o tom, že jsou sledováni, řada uživatelů iPhone odmítla povolení. Co může být překvapivější, je to, jaký rozdíl to přineslo reklamnímu průmyslu. V únoru 2022 Facebook oznámil, že utrží 10 miliard dolarů, konkrétně kvůli transparentnosti sledování aplikací.
Pokud používáte aplikace využívající údaje o poloze nebo jakékoliv jiné údaje, vždy se najde společnost, která může s těmito daty obchodovat a vy s tím bohužel nic neuděláte.