Android Apps Share Data dengan Facebook Tanpa Persetujuan Eksplisit

PERINGATAN bagi siapa saja yang gemar mengunduh dan memanfaatkan Apps Android di telepon pintarnya. Pasalnya, aplikasi seperti  aplikasi doa, MyFitnessPal, DuoLingo, Kayak, Memang, Shazam, Skyscanner, Spotify, Trip Advisor, dan Yelp, ternyata telah menjadi media untuk mengirimkan data tertentu penggunanya  ke Facebook, begitu aplikasi itu  dibuka di telepon. Informasi ini mencakup nama aplikasi dan ID unik pengguna dengan Google.

Jika Anda mempertimbangkan fakta bahwa banyak aplikasi berkontribusi pada profil Anda, itu artinya Facebook dapat membuat profil yang cukup akurat.

Laporan dari Privacy International menunjukkan bahwa seseorang dengan aplikasi doa Muslim, pelacak periode, Memang dan aplikasi anak-anak dapat diidentifikasi sebagai kemungkinan orang tua perempuan, Muslim, mencari pekerjaan – bahkan jika mereka tidak pernah mengidentifikasi diri mereka sebagai salah satu dari mereka hal-hal di Facebook.

Terlebih lagi, beberapa aplikasi memberikan informasi yang lebih rinci kepada Facebook, dan tidak hanya ketika aplikasi pertama kali dibuka. Menurut laporan itu, Kayak memberi tahu Facebook tentang pencarian penerbangan, tanggal perjalanan, dan apakah pengguna memiliki anak. Penting juga untuk dicatat

Selain sangat tidak etis, praktik ini juga melanggar aturan dari Peraturan Perlindungan Data Umum Eropa yang baru, yang diperkenalkan pada Mei. Aplikasi-aplikasi yang dipermasalahkan bisa berada di kait untuk hingga empat persen dari pendapatan atau 20 juta Euro, mana yang lebih besar – tetapi Facebook mungkin juga dalam masalah.

Privacy International menemukan bahwa kit pengembang Facebook tidak memberikan opsi untuk menunggu izin pengguna sebelum mengirim beberapa data hingga setidaknya empat minggu setelah pengenalan GDPR. Bahkan setelah perusahaan meluncurkan peningkatan pada awal musim panas, masih ada laporan bug yang sedang berlangsung, dan jelas dari laporan ini bahwa banyak aplikasi belum menerapkan perbaikan. ”

Menanggapi laporan ini, Facebook berdamai dan mencatat bahwa ia sedang mengerjakan “serangkaian perubahan,” termasuk alat baru yang disebut “Clear History” yang katanya dapat membantu mengatasi blowback dari masalah saat ini. Sementara itu, banyak aplikasi Android yang dipermasalahkan tidak menanggapi permintaan komentar, selain dari Skyscanner, yang mengatakan tidak mengetahui bahwa itu mengirim data ke Facebook.

Melihat sisi baiknya, ada beberapa aplikasi yang diuji oleh Privacy International yang tidak mengirimkan informasi ke Facebook saat dibuka – berteriak ke Candy Crush Saga, Browser Browser, dan Speedtest oleh Ookla. Berikut ini berharap lebih banyak aplikasi akan mengikuti jejak mereka di tahun mendatang, dan di sini juga berharap agar Facebook dapat menjadi sedikit lebih baik di 2019.

Riset Privacy International

Dalam  temuan PRIVACY INTERNATIONAL yang dirilis akhir Desember 2018 lalu. Riset  yang dilakukan oleh Privacy International sebelumnya menunjukkan  bagaimana 42,55 persen aplikasi gratis di Google Play store dapat berbagi data dengan Facebook. Hal ini menjadikan Facebook sebagai pelacak pihak ketiga yang paling lazim kedua setelah perusahaan induk Google, Alphabet.  Dalam laporan ini, Privacy International menggambarkan seperti apa pembagian data ini dalam praktiknya, terutama bagi orang yang tidak memiliki akun Facebook.

Pertanyaan apakah Facebook ini mengumpulkan informasi tentang pengguna yang tidak masuk atau tidak memiliki akun dimunculkan setelah skandal Cambridge Analytica oleh anggota parlemen dalam audiensi di Amerika Serikat dan Eropa.

Diskusi, serta denda sebelumnya oleh Otoritas Perlindungan Data tentang pelacakan non-pengguna, bagaimanapun, sering berfokus pada pelacakan yang terjadi di situs web. Apalagi yang diketahui tentang data yang diterima perusahaan dari aplikasi. Karena alasan tersebut,  dalam laporan Privacy International  ini, pihaknya pertanyaan tentang transparansi dan penggunaan data aplikasi yang kami anggap tepat waktu dan penting.

Facebook secara rutin melacak pengguna, non-pengguna, dan pengguna yang keluar dari platformnya melalui Facebook Business Tools. Pengembang aplikasi berbagi data dengan Facebook melalui Kit Pengembangan Perangkat Lunak Facebook (SDK), seperangkat alat pengembangan perangkat lunak yang membantu pengembang membangun aplikasi untuk sistem operasi tertentu.

Menggunakan alat perangkat lunak sumber terbuka dan gratis yang disebut “mitmproxy”, proksi HTTPS interaktif, Privacy International telah menganalisis data dari  34 aplikasi di Android, masing-masing dengan basis instalasi dari 10 hingga 500 juta, mentransmisikan ke Facebook melalui Facebook SDK.

Semua aplikasi tersebut diuji  antara Agustus dan Desember 2018, dengan uji ulang terakhir terjadi antara 3 dan 11 Desember 2018.

Temuan

• Privacy International  menemukan bahwa setidaknya 61 persen aplikasi yang kami uji secara otomatis mentransfer data ke Facebook saat pengguna membuka aplikasi. Ini terjadi apakah orang memiliki akun Facebook atau tidak, atau apakah mereka masuk ke Facebook atau tidak.

1• Biasanya, data yang secara otomatis ditransmisikan terlebih dahulu adalah data peristiwa yang berkomunikasi dengan Facebook bahwa Facebook SDK telah diinisialisasi dengan mentransmisikan data seperti “Aplikasi diinstal” dan “SDK diinisialisasi”. Data ini mengungkapkan fakta bahwa pengguna menggunakan aplikasi spesifik, setiap kali pengguna membuka aplikasi.

2• Dalam analisis Privacy International, aplikasi yang secara otomatis mengirimkan data ke Facebook membagikan data ini bersama dengan pengidentifikasi unik, ID iklan Google (AAID). Tujuan utama ID iklan, seperti ID iklan Google (atau yang setara dengan Apple, IDFA) adalah untuk memungkinkan pengiklan untuk menautkan data tentang perilaku pengguna dari berbagai aplikasi dan penelusuran web ke dalam profil yang komprehensif.

Jika digabungkan, data dari aplikasi yang berbeda dapat melukiskan gambaran mendalam dan intim tentang aktivitas, minat, perilaku, dan rutinitas orang, beberapa di antaranya dapat mengungkapkan data kategori khusus, termasuk informasi tentang kesehatan atau agama orang.

Misalnya, seorang individu yang telah menginstal aplikasi berikut yang telah kami uji, “Connect Qibla” (aplikasi doa Muslim), “Period Tracker Clue” (pelacak periode), “Memang” (aplikasi pencarian pekerjaan), “My Talking Tom “(aplikasi anak-anak), dapat berpotensi diprofilkan sebagai perempuan, kemungkinan Muslim, pencari kerja, kemungkinan orang tua.

3• Jika digabungkan, data acara seperti “Aplikasi terpasang”, “SDK diinisialisasi” dan “Nonaktifkan aplikasi” dari berbagai aplikasi juga menawarkan wawasan terperinci tentang perilaku penggunaan aplikasi dari ratusan juta orang.

4• Privacy International juga menemukan bahwa beberapa aplikasi secara rutin mengirim data Facebook yang sangat rinci dan terkadang sensitif. Sekali lagi, ini menyangkut data orang yang keluar dari Facebook atau yang tidak memiliki akun Facebook. Contoh utama adalah aplikasi pencarian perjalanan dan perbandingan harga “KAYAK”, yang mengirimkan informasi terperinci tentang pencarian penerbangan orang ke Facebook, termasuk: kota keberangkatan, bandara keberangkatan, tanggal keberangkatan, kota kedatangan, bandara kedatangan, tanggal kedatangan, jumlah tiket ( termasuk jumlah anak), kelas tiket (ekonomi, bisnis atau kelas satu).

5• Kebijakan Cookies Facebook menjelaskan dua cara di mana orang yang tidak memiliki akun Facebook dapat mengontrol penggunaan cookie Facebook untuk menampilkan iklan kepada mereka. Privacy International telah menguji kedua opt-out dan menemukan bahwa mereka tidak memiliki dampak yang terlihat pada berbagi data yang telah kami jelaskan dalam laporan ini.

Pembahasan 

Facebook menempatkan tanggung jawab tunggal pada pengembang aplikasi untuk memastikan bahwa mereka memiliki hak yang sah untuk mengumpulkan, menggunakan, dan berbagi data orang sebelum memberikan data apa pun kepada Facebook. Namun, implementasi default SDK Facebook dirancang untuk secara otomatis mengirimkan data acara ke Facebook.

Sejak 25 Mei 2018 – hari ketika Peraturan Perlindungan Data Umum UE (GDPR) mulai berlaku – pengembang telah mengajukan laporan bug pada platform pengembang Facebook, meningkatkan kekhawatiran bahwa Facebook SDK secara otomatis berbagi data sebelum aplikasi dapat meminta pengguna untuk setuju atau menyetujui.

Pada tanggal 28 Juni 2018, Facebook merilis fitur sukarela yang seharusnya memungkinkan pengembang untuk menunda pengumpulan acara yang dicatat secara otomatis sampai setelah mereka memperoleh persetujuan pengguna. Fitur ini diluncurkan 35 hari setelah GDPR berlaku dan hanya berfungsi pada SDK versi 4.34 dan yang lebih baru.

Menanggapi laporan ini, Facebook telah menyatakan dalam email ke Privacy International pada 28 Desember 2018: “Sebelum kami memperkenalkan opsi” penundaan “, pengembang memiliki kemampuan untuk menonaktifkan transmisi data pencatatan peristiwa otomatis, kecuali untuk sinyal yang SDK telah diinisialisasi. Mengikuti perubahan Juni pada SDK kami, kami juga menghilangkan sinyal bahwa SDK diinisialisasi untuk pengembang yang menonaktifkan pencatatan peristiwa otomatis. ”(Penekanan ditambahkan).

“Sinyal” ini adalah data yang kami amati dalam temuan kami. Kami berasumsi bahwa sebelum rilis fitur sukarela ini, banyak aplikasi yang menggunakan Facebook SDK di ekosistem Android karena itu tidak dapat mencegah atau menunda SDK mengumpulkan dan membagikan secara otomatis bahwa SDK telah diinisialisasi. Data tersebut berkomunikasi dengan Facebook bahwa pengguna menggunakan aplikasi tertentu, ketika mereka menggunakannya dan untuk berapa lama.

Kesimpulan

Tanpa transparansi lebih lanjut dari Facebook, tidak mungkin untuk mengetahui dengan pasti, bagaimana data yang telah kami jelaskan dalam laporan ini digunakan. Ini adalah kasus khusus karena Facebook kurang transparan tentang cara-cara penggunaan data pengguna non-Facebook di masa lalu.

Temuan Privacy International juga menimbulkan sejumlah pertanyaan hukum. Karena penelitian ini dilakukan di Inggris, kami berfokus pada kerangka kerja UE yang relevan, yaitu perlindungan data UE (“GDPR”) dan hukum ePrivacy (Petunjuk ePrivacy 2002/58 / EC, sebagaimana diterapkan oleh undang-undang Negara Anggota) serta Persaingan Hukum. Tema yang mendasari adalah tanggung jawab berbagai aktor yang terlibat, termasuk Facebook.

Facebook sebenarnya tidak memiliki reputasi yang bagus, tetapi pada tingkat tertentu itu mengejutkan meskipun ketika skandal baru tentang raksasa media sosial pecah – lagi pula, berapa banyak kejutan yang bisa dikelola?

Ternyata jawabannya banyak. Sebuah laporan baru yang dikeluarkan oleh grup kampanye Privacy International menemukan bahwa 20 dari 34 aplikasi Android populer mengirim data ke Facebook tanpa meminta izin. Ini menggemakan temuan laporan sebelumnya tentang aplikasi kesehatan dan kencan.