SPOTTING: Perusahaan Amerika memiliki informasi tentang lokasi saya.
Ada 160 aplikasi di ponsel saya. Saya tidak tahu apa yang mereka lakukan, tetapi saya memutuskan untuk mencari tahu.
Saya merasa aplikasi ini memata-matai saya. Tentu saja, mereka tidak menyadap saya, tetapi mereka terus memantau keberadaan saya. Bahwa setiap langkah saya ditularkan kepada seseorang: ketika saya pergi ke toko, minum atau mengobrol dengan teman.
Saya tahu bahwa ada orang yang membeli dan menjual informasi ini. Bagaimana mereka melacak kita, dan apa yang ingin mereka lakukan dengan data kita?
Untuk mendapatkan dasar, saya memulai eksperimen pada bulan Februari. Saya menginstal banyak aplikasi di ponsel cadangan saya dan kemudian mulai membawanya ke mana-mana.
Atau hampir di mana-mana. Saya meninggalkannya di rumah ketika saya dites COVID-19 pada bulan April.
Kemudahan penyalahgunaan
Perasaan diawasi meningkat selama bertahun-tahun, dan saya punya alasan untuk itu. Musim semi ini saya menjadi bagian dari tim NRK (Perusahaan Penyiaran Norwegia) yang mendokumentasikan bagaimana lebih dari 8.300 ponsel dilacak saat berada di rumah sakit atau tempat penampungan wanita.
Untuk 35.000 NOK (€ 3.300 / $ 4.000), kami mendapat akses ke data lokasi yang menunjukkan ke mana puluhan ribu orang Norwegia bepergian pada tahun 2019.
Salah satunya adalah Karl Björn Bernhardsen yang berusia 31 tahun dari Stavanger. Informasi tersebut memungkinkan kami untuk dengan mudah mengidentifikasinya dari data, yang menurut penyedia data , telah dianonimkan.
Ketika kami meneleponnya, kami dapat memberitahunya di mana dia berada hampir setiap hari di tahun 2019. Kebun binatang. Wawancara kerja. Di rumah sakit, di mana dia tinggal selama beberapa hari sebagai ayah dari anak pertamanya.
Kemudian Karl memberi tahu kami bahwa jika jatuh ke tangan yang salah, siapa pun dapat menggunakan informasi ini.
Pengkhianatan
Kami sering diberi tahu bahwa pelacakan komersial tidak terlalu buruk: "Ini hanya digunakan untuk iklan." Tetapi ada banyak orang lain yang tertarik dengan jejak digital ponsel kita.
Dalam postingan baru - baru ini oleh Vice Motherboard, ditemukan bahwa militer AS membeli data lokasi dan aplikasi sholat Muslim membagikan data lokasi pengguna dengan kontraktor pertahanan.
"Sepertinya pengkhianatan," kata pemimpin lokal Dewan Hubungan Amerika-Islam.
Pada 2018, pemilik restoran berpagar, Kentucky Fried Chicken, ditangkap di kota perbatasan di Arizona. Ia diduga terlibat penyelundupan narkoba dari Meksiko melalui terowongan di bawah perbatasan AS.
TUNNEL: Terowongan sepanjang 180 meter yang dimulai dari rumah Meksiko dan berakhir di restoran KFC dalam ruangan.
Menurut Wall Street Journal (WSJ) , kejahatan itu diselesaikan sebagian karena Penegakan Hukum dan Imigrasi AS (ICE) menggunakan data lokasi yang didistribusikan secara komersial.
Dari sebuah artikel di WSJ, tampaknya data bisnis tersebut diduga diteruskan ke departemen deportasi ICE. US Customs and Border Protection (CBP) juga memperoleh akses ke data lokasi "global" .
Ada alasan mengapa wartawan NRK diminta untuk berpikir matang sebelum mengangkat telepon ke sumber rahasia. Pihak berwenang dapat mengakses informasi tentang lokasi mereka bahkan tanpa izin pengadilan.
Jika data lokasi saya jatuh ke tangan yang salah, data tersebut juga dapat memengaruhi orang lain. Kami terus-menerus takut bahwa akan mungkin untuk mengidentifikasi orang yang memberikan informasi secara rahasia.
Saya memerlukan akses ke data saya
Perusahaan yang memasok ICE dengan informasi tentang restoran cepat saji bernama Venntel. Menurut catatan perusahaan, itu terletak di cluster industri di Virginia.
Di area yang sama, Anda bisa menemukan nama-nama familiar dari sektor pertahanan, misalnya Lockheed Martin, perusahaan yang menciptakan F-35, dan mantan majikan Edward Snowden, Booz Allen Hamilton. Cukup dengan berkendara 20 menit ke timur dan Anda akan tiba di Langley, Virginia, di mana markas besar CIA berada.
DEFENSE CLUSTER: Venntel terdaftar di gedung ini di Virginia Industrial Cluster, USA.
Pada 20 Agustus, saya meminta salinan semua informasi yang dimiliki Venntel tentang saya. Sebagai hasil dari GDPR 2018, semua orang Eropa berhak melakukannya.
Keesokan harinya, departemen hukum Venntel menanyakan beberapa alamat yang baru-baru ini saya kunjungi.
"Setelah menerima informasi ini, pertama-tama kami akan memeriksa apakah ID Pengiklan yang Anda berikan ada di database kami," kata email tersebut.
ID Pengiklan adalah yang dimiliki setiap ponsel cerdas. Pengenal ini adalah kunci untuk melacak pengguna ponsel sepanjang waktu dan aplikasi. Pemilik ponsel dapat membatasi kemudahan akses ke pengenal ini, namun, hanya sedikit yang melakukannya .
Saya telah memberi Venntel alamat kantor saya di gedung NRK dan apartemen saya di Oslo.
Data penjualan
Hampir sebulan kemudian, saya menerima lampiran email yang menarik dari Venntel. Isinya informasi tentang di mana saya telah 75406 kali sejak 15 Februari. Tiba-tiba saya memiliki kesempatan untuk melacak setiap langkah saya - saat berjalan-jalan, di bar, mengunjungi nenek saya di Norwegia selatan.
POIN: Foto di sebelah kiri menunjukkan registrasi pergerakan saya di sekitar apartemen saya. Pada foto di sebelah kanan Anda dapat melihat peta kantor NRK di daerah Marienlyst Oslo. Seiring waktu, sejumlah besar lokasi terdaftar telah terkumpul di tempat-tempat ini.
Tidak ada nomor telepon atau nama dalam data. Namun, hampir semua orang dapat dengan mudah mengetahui bahwa ini adalah gerakan saya. Pencarian sederhana di Google dan buku petunjuk telepon akan mengungkapkan bahwa ada Martin Gundersen yang tinggal di Sorgentfrigata di Oslo dan bekerja untuk NRK Marienlyst.
Venntel juga memberi tahu saya bahwa mereka membagikan informasi saya dengan kliennya. Kliennya menggunakan informasi ini untuk tujuan seperti kepatuhan federal dan keamanan nasional.
Siapa pelanggan ini, Venntel menolak mengungkapkan.
Rahasia yang dijaga ketat
Bagaimana data lokasi saya bisa berakhir dengan Venntel di AS? Tak satu pun dari aplikasi yang saya instal menyebutkan perusahaan ini. Tidak ada tempat, bahkan dalam kebijakan privasi yang membingungkan yang hampir tidak dibaca orang sebelum mengklik OK.
Venntel dapat memberi tahu saya bahwa ia menerima informasi saya dari perusahaan induknya, Gravy Analytics, dan bahwa ia jarang mengetahui tentang aplikasi yang terkait dengannya.
Gravy Analytics adalah broker data pemasaran. Perusahaan mengumpulkan data konsumen dalam jumlah besar untuk meningkatkan penargetan iklannya. Gravy Analytics juga mengklaim tidak mengetahui apa pun tentang asal mula sebagian besar data. Namun, tanggapan atas permintaan akses tersebut berisi nama dua perusahaan baru: Predicio (Prancis) dan Complementics (AS).
Permintaan akses baru mengungkapkan bahwa beberapa data lokasi yang akhirnya berakhir di Venntel berasal dari pengembang aplikasi Slovakia, Sygic, yang memiliki 70 aplikasi dalam portofolionya.
Halaman web pengembang mengklaim bahwa aplikasinya yang paling populer memiliki 200 juta pengguna.
Pada 15 Februari, saya menginstal dua aplikasi navigasi Sygic. Keduanya meminta saya untuk menyetujui persyaratan personalisasi iklan.
Jika Anda salah satu dari orang-orang yang sulit membaca apa yang mereka setujui, maka Anda tidak sendiri. Faktanya, sangat sedikit orang yang membaca persyaratan penggunaan aplikasi dan layanan yang diinstal.
Saya mengklik "Saya setuju". Sejak itu, kesepakatan yang mengikat telah dibuat antara saya dan aplikasi.
Hukum privasi yang dilanggar
Tampaknya saat Gravy Analytics menerima data tersebut, perjanjian dengan Sygic telah dilanggar. Gravy Analytics menyatakan dalam kebijakan privasinya bahwa informasi pribadi saya dapat digunakan dalam serangkaian layanan untuk mitra dan pelanggan perusahaan. Menurut kebijakan privasi mereka sendiri, tujuan mereka meliputi, antara lain, deteksi penipuan, penegakan hukum, dan keamanan nasional.
Dengan kata lain, Gravy Analytics telah membagikan data lokasi saya dengan anak perusahaannya, yang menyediakan layanan khusus ini.
Yang membawa kita kembali ke perjanjian saya dengan Sygic pada 15 Februari.
Saya berkonsultasi dengan tiga pengacara, Malgorzata Agnieszka Sindecka, Lee Baygrave dan Arve Feyen; mereka semua adalah pakar privasi. Mereka percaya bahwa kemampuan untuk menggunakan informasi pribadi saya untuk tujuan yang belum saya setujui jelas merupakan pelanggaran terhadap GDPR, karena undang-undang ini memberlakukan batasan dan persyaratan yang ketat tentang apa yang dapat Anda lakukan dengan informasi pribadi.
PERSYARATAN KETAT: "Jika ternyata mitra dapat menggunakan informasi pribadi untuk tujuan selain yang telah Anda sepakati, maka Anda akan kehilangan privasi," kata Sindetska.
Perkembangan fungsi ini tidak bisa diterima. Menurut profesor madya Fakultas Hukum Universitas Bergen, Malgorzata Agnieszka Sindecka, praktik semacam itu tidak hanya merusak prinsip pembatasan yang ditargetkan, tetapi juga prinsip transparansi dan kejujuran yang ditetapkan dalam GDPR.
Ramalan cuaca lucu dengan tipu muslihat
Selain itu, menurut file data dari Gravy Analytics dan Venntel, aplikasi cuaca Fu *** Weather juga mengikuti saya. Dari deskripsi, aplikasi harus menyajikan ramalan cuaca dengan cara yang sarkastik dan pedas. Siapa yang tidak ingin membumbui ramalan cuaca harian mereka dengan bahasa kotor?
Saat menginstal aplikasi musim gugur ini, saya setuju bahwa data saya dapat digunakan untuk analitik dan "monetisasi", yaitu. mendanai aplikasi.
Tiga pengacara yang sama yang saya temui percaya bahwa perjanjian ini tidak sesuai dengan GDPR karena tidak jelas apa yang dimaksud dengan "monetisasi". Selain itu, kumpulan analitik tidak konsisten dengan semua praktik bisnis Venntel.
KONDISI CUACA MISKIN: Funny Weather tidak menyarankan Anda menjulurkan kepala ke luar jendela untuk memeriksa cuaca, karena dapat merusak suasana hati Anda.
Pengembang Funny Weather, Lavius Fras, tidak bekerja untuk perusahaan besar mana pun. Dia mengatakan dia tidak mengenal Venntel, tetapi mengatakan dia tidak menyembunyikan model bisnis aplikasi tersebut.
“Fakta bahwa saya bermitra dengan perusahaan yang menggunakan beberapa data yang dapat diakses aplikasi untuk menghasilkan uang bukanlah rahasia,” tulis Lavius Fras kepada saya melalui email.
Frase mengakui bahwa lampiran mungkin lebih jelas tentang implikasi dari kemampuan untuk "menghasilkan uang". Dia bermaksud untuk membuat perubahan pada kebijakan privasi untuk ini, tetapi terus mempertahankan bahwa pengguna telah diinformasikan sebagaimana mestinya.
Ketidakmampuan untuk melacak
Bagaimana data dari Funny Weather sampai ke Venntel tetap menjadi misteri, tetapi kemungkinan data itu melalui perusahaan Prancis Predicio, yang terdaftar sebagai perantara dalam kebijakan privasi aplikasi.
Apa aplikasi lain yang dapat menerima data dari Venntel adalah rahasia yang dijaga ketat. Bahkan pemilik aplikasi seluler tidak tahu apa yang mereka terlibat di dalamnya.
“Kami tidak tahu Venntel,” kata Zuzana Kasanova dari Sygic ketika saya bertanya bagaimana data saya sampai ke perusahaan.
Kasanova menyatakan bahwa persetujuan saya diperoleh secara sah sesuai dengan GDPR, dan bahwa mitra perusahaannya berdasarkan kontrak berkewajiban untuk menggunakan data saya hanya untuk tujuan pemasaran.
“Berdasarkan informasi yang Anda berikan, tidak jelas bahwa sumber data yang diterima Venntel tentang Anda adalah Sygic GPS Navigation. Jika ternyata demikian, maka ini merupakan pelanggaran perjanjian yang telah kami buat dengan mitra kami. "
Analisis teknis NRK menunjukkan bahwa data dari Sygic berakhir di Venntel. Misalnya, ID yang digunakan oleh Complementics untuk data dari Sygic juga ada dalam data dari Venntel.
Kasanova tidak menjawab pertanyaan tentang implikasi apa yang akan ditimbulkannya terhadap kemitraan Sygic dengan Predicio atau Complementics.
Sebuah sistem yang dibangun di atas ilegalitas
Dengan diperkenalkannya GDPR 2018, pendukung privasi telah mencapai kemenangan penting. Hukum pan-Eropa dimaksudkan untuk memberikan pengawasan yang lebih ketat terhadap perusahaan yang memperdagangkan data pengguna. Namun, bagian dari industri periklanan digital tidak banyak berubah.
“Perusahaan mencoba untuk tetap berpegang pada praktik lama dan menyamarkannya sebagai sesuatu yang berbeda, tetapi pada intinya tetap sama,” kata David Martin dari Brussels.
Dia mengepalai Divisi Hak Digital di BEUC, kelompok payung organisasi konsumen Eropa. Menurut Martin, "Bagian dari sistem periklanan digital didasarkan pada pelanggaran yang hampir sistematis terhadap GDPR."
Dia berbagi pendapat dengan sebagian besar pendukung privasi: GDPR sangat bagus secara teori, tetapi dalam praktiknya GDPR memiliki kekurangan yang serius.
David Martin, BEUC.
Aktivis privasi Austria dan peneliti Wolfi Crystal telah meneliti bagaimana perusahaan menggunakan data kami selama bertahun-tahun. Dia baru-baru ini membantu Dewan Konsumen Norwegia dengan laporan "Di Luar Kendali" yang mendokumentasikan banyak potensi pelanggaran privasi dalam ekosistem aplikasi.
“Dalam banyak kasus, sulit atau tidak mungkin untuk melacak pergerakan data pribadi antara aplikasi, pialang data, dan klien mereka,” katanya.
Menurut Krystle, otoritas perlindungan data UE tidak dapat atau tidak mau mengakhiri pelanggaran GDPR.
“Kami tidak akan melihat perubahan apa pun tanpa mengenakan denda dan larangan besar pada pemrosesan data. Negara anggota Uni Eropa dan Komisi Uni Eropa harus bertindak, "katanya.
Pertanyaannya adalah apakah ada orang yang ingin mendengarnya. Dan juga betapa mudahnya meminta pertanggungjawaban atas dugaan pelanggaran. Arve Feyen, seorang partner di firma hukum Føyen Torkildsen, percaya bahwa menghukum perusahaan seperti Venntel sulit karena mereka tidak memiliki kantor di Eropa.
“Saya khawatir hal ini menimbulkan kesan ilusi tentang penerapan aturan, tetapi dalam praktiknya tidak mungkin untuk mengambil tindakan hukum apa pun,” jelas Feyen.
Album foto digital
Sudah beberapa bulan sejak saya membawa ponsel cadangan saya ke hotel olahraga Ullevålseter, tempat yang populer di hutan Nordmark untuk minum kopi dan wafel.
Di layar saya, saya melihat titik-titik berkelok-kelok di sepanjang jalur hutan. Banyak cluster tempat saya beristirahat; ketika saya berjalan dengan cepat, mereka lebih jarang tersebar.
SNACK: Saya datang dari jalan yang benar. Lalu saya berhenti sejenak di halaman, sedikit bingung, dan kemudian saya menemukan bangku kayu di sebelah kanan. Secara keseluruhan, foto ini menangkap 36 menit hari Minggu, 9 Agustus.
Itu adalah hari Minggu yang panas di akhir musim panas. Lalat kuda berkerumun, terutama di daerah berawa.
Kami biasanya melupakan sebagian besar tempat yang pernah kami kunjungi dan apa yang kami lakukan di sana. Namun, beberapa petunjuk sudah cukup untuk ingatan kembali. Memulihkan langkah saya pada hari Minggu musim panas itu seperti membolak-balik album lama, yang setiap halamannya memiliki ceritanya sendiri.
Tapi lucunya data ini, pergerakan saya, disimpan oleh orang lain.
Sangat tidak menyenangkan untuk mengikuti langkah Anda sendiri, bahkan jika itu tidak terkait dengan urusan cinta, pertemuan rahasia, atau masalah kesehatan yang rumit.
Sebagian besar dari kita memiliki momen dalam hidup kita yang tidak ingin kita bagikan. Bahkan dengan orang yang mereka cintai, bos atau negara.
Saya dapat memulihkan aliran data dari aplikasi seluler ke Venntel, tetapi masih banyak pertanyaan yang belum terjawab. Pelanggan Venntel mana yang menerima informasi tentang saya? Apakah perusahaan-perusahaan ini di sektor pertahanan, intelijen atau FBI?
Jawaban yang sulit didapat
Gravy Analytics tidak menanggapi beberapa permintaan kami. Anak perusahaannya, Venntel, menolak untuk diwawancarai melalui telepon atau email.
Dalam pernyataan singkatnya, Venntel menyatakan bahwa pergerakan ponsel saya tidak disiarkan oleh ICE atau CBP. Dia juga menulis bahwa dia tidak ada hubungannya dengan vendor aplikasi Sygic atau Lavius Fras. (NRK tidak pernah menyatakan bahwa mereka memiliki hubungan langsung, tetapi telah mendokumentasikan bahwa perusahaan memperoleh informasi dari aplikasi ini melalui pihak ketiga.)
"Kami tidak akan meninggalkan komentar lebih lanjut tentang hubungan bisnis kami atau interpretasi undang-undang," tulis Venntel.
Dalam sebuah pernyataan kepada NRK, Perlindungan Perbatasan AS (CBP) mengatakan bahwa mereka memiliki akses terbatas ke data yang tersedia secara komersial dan digunakan sesuai dengan aturan dan regulasi yang relevan. (Teks lengkap dari pernyataan tersebut dapat ditemukan di akhir artikel).
Pejabat Pers CBP Jason Givens tidak menanggapi pertanyaan lanjutan tentang pembatasan apa yang diberlakukan pada CBP terkait dengan pengambilan data warga negara Eropa atau telepon yang terletak di luar perbatasan AS.
FBI dan ICE juga memiliki perjanjian dengan Venntel, tetapi mereka tidak menanggapi pertanyaan tentang kemampuan perusahaan untuk melacak orang Eropa di dalam dan di luar Eropa.
Saat Predicio menanggapi permintaan akses pada 11 Agustus, perusahaan tidak menyebutkan transfer data Venntel pada Februari-Juli. (Aplikasi Funny Weather dipasang pada 10 Agustus.) Predicio tidak menanggapi permintaan wawancara saya yang berulang kali.
Salah satu pendiri Complementics, Walter Harrison, menyatakan bahwa data saya hanya digunakan untuk analitik pemasaran. Harrison tidak ingin berpartisipasi dalam wawancara dan tidak menjawab pertanyaan tentang hubungan perusahaan dengan Gravy Analytics. Ketika Wakil Papan Utama bertanya kepada Harrison tentang Gravy Analytics, dia mengatakan bahwa mitra kontrak perusahaan "tidak dapat secara langsung atau tidak langsung membagikan data apa pun yang diterima dari Complementics dengan badan intelijen, imigrasi, atau penegakan hukum AS."
: , , . , . Venntel ( , , , ), Gravy Analytics ( , , , ), Sygic ( , ), Predicio ( , ), og Complementics ( , , ). .
« — . , . , , . , , „ “ 1974 , , , , . , ».
ICE
« (U.S. Immigration and Customs Enforcement, ICE) , . Venntel : FPDS. GDPR ICE Venntel».
CBP
«- (U.S. Customs and Border Protection, CBP) , . , , CBP .
CBP , , , . , CBP . CBP, , CBP , ».
Server yang disewakan untuk tujuan apa pun hanyalah tentang server virtual dari perusahaan kami.
Untuk waktu yang lama kami telah menggunakan drive server cepat eksklusif dari Intel dan tidak menghemat perangkat keras - hanya peralatan bermerek dan solusi paling modern di pasar untuk menyediakan layanan.
