Bởi: Alfred Ng và Jon Keegan
Có một thị trường ước tính 12 tỷ đô la của các công ty mua bán dữ liệu vị trí được thu thập từ điện thoại di động của bạn. Và giao dịch này hoàn toàn hợp pháp tại Hoa Kỳ.
Hội nghị TNW 2024 - Gọi tên tất cả các Startup tham gia vào ngày 20-21 tháng 6
Trình bày startup của bạn trước các nhà đầu tư, những người thay đổi và khách hàng tiềm năng với gói Startup được chọn lọc của chúng tôi.
Mà không có văn bản hạn chế thương mại dữ liệu vị trí, Apple và Google đã trở thành các cơ quan quản lý mặc định để bảo vệ thông tin vị trí của bạn—thông qua sự thay đổi trong yêu cầu minh bạch và làm chặt chẽ đối với một số nhà môi giới dữ liệu cụ thể.
Cụ thể, các cửa hàng ứng dụng đã làm chặt chẽ đối với các nhà môi giới dữ liệu quảng cáo các bộ công cụ phát triển phần mềm (SDK) cho các nhà phát triển ứng dụng—như X-Mode (hiện biết đến với tên Outlogic), đã bị kiểm tra vì bán dữ liệu cho các nhà thầu quốc phòng. Thường thấy rằng các nhà phát triển ứng dụng nhúng SDK để thêm tính năng vào ứng dụng của họ mà không cần xây dựng chúng từ đầu, nhưng các SDK này cụ thể được thiết kế để gửi dữ liệu vị trí người dùng ứng dụng đến các nhà môi giới.
Tuy nhiên, các chuyên gia và người làm việc trong ngành dữ liệu vị trí cho biết với The Markup rằng những động thái này chưa đủ; có nhiều lỗ hổng trong chính sách của Apple và Google cho phép việc thu thập dữ liệu vị trí vẫn diễn ra, ngay cả khi không sử dụng những SDK đó.
“Thách thức ở đây, và đây là một thách thức với các nhà môi giới dữ liệu nói chung, là bạn đang chơi trò đập chuột, nơi những công ty này có nhiều vectơ khác nhau thông qua đó họ có được thông tin nhạy cảm của mọi người,” Justin Sherman, một nghiên cứu viên chính sách an ninh mạng tại Đại học Công nghệ Duke, cho biết.
Loại hình bán dữ liệu vị trí nào mà Apple và Google cho phép đối với ứng dụng trong cửa hàng của họ?
Cả Apple và Google đều có chính sách đối với các công ty bán dữ liệu vị trí. Nhưng không rõ liệu các gigabyte công nghệ này có thực hiện chính sách đó hay không—hoặc làm thế nào họ sẽ thực hiện nếu có.
Chính sách của Apple yêu cầu các ứng dụng tiết lộ thông tin gì họ đang thu thập từ người dùng và cách nó có thể được sử dụng, và phải có sự đồng thuận từ người dùng trước khi chia sẻ dữ liệu của họ. Tuy nhiên, nó không yêu cầu các ứng dụng tiết lộ chính xác họ đang bán dữ liệu cho ai, và nhiều ứng dụng chỉ đơn giản nói rằng họ chia sẻ dữ liệu với đối tác.
Ví dụ, khi The Markup phát hiện ra rằng Life360 bán dữ liệu vị trí cho gần một tá nhà môi giới dữ liệu vị trí vào năm 2021, chúng tôi chủ yếu dựa vào các nhân viên cũ của công ty để cho chúng tôi biết họ bán dữ liệu về chuyển động của người dùng của họ cho ai và trong mức độ nào.
Chỉ có hai công ty, trong khoảng một chục, được đề cập trong chính sách quyền riêng tư của ứng dụng. Phần còn lại, theo lời CEO Chris Hulls, đều được giấu sau các điều khoản bảo mật, điều này phổ biến trong ngành do giá trị cạnh tranh của dữ liệu.
Mọi thứ đều seems to be in line with chính sách của cửa hàng Apple.
“Để nộp ứng dụng mới và cập nhật ứng dụng, bạn cần cung cấp thông tin về một số thực hành thu thập dữ liệu của ứng dụng trên trang sản phẩm của bạn,” Apple nói trong chính sách quyền riêng tư cho nhà phát triển. “Với iOS 14.5, iPadOS 14.5 và tvOS 14.5 và phiên bản sau, bạn cần yêu cầu người dùng cho phép theo dõi họ qua các ứng dụng và trang web do các công ty khác sở hữu.”
Đối với dữ liệu vị trí cụ thể, một khi người dùng đã cho phép, chính sách của Apple ghi chú rằng mọi người phải tuân theo chính sách và thực hành quyền riêng tư của ứng dụng, trong đó có việc bán dữ liệu của họ.
Chính sách của Google đi một bước xa hơn, tuyên bố rằng nhà phát triển không thể bán dữ liệu cá nhân và nhạy cảm của người dùng, bao gồm vị trí thiết bị. Công ty cũng yêu cầu công bố, bảo cho nhà phát triển biết rằng họ “phải minh bạch trong cách xử lý dữ liệu người dùng.”
Một số chính sách dễ kiểm tra (mặc dù không nhất thiết là tuân thủ), như lệnh cấm SDK của Apple và Google đối với X-Mode. Nhưng các công ty không cho bất kỳ biểu hiện nào về cách họ sẽ thực thi những quy tắc này liên quan đến các phương thức thu thập dữ liệu khác mà cùng các nhà môi giới bị cấm đang sử dụng, như mua dữ liệu trực tiếp từ các nhà xuất bản ứng dụng.
“Chính sách của Google Play rõ ràng cấm ứng dụng thu thập dữ liệu người dùng nhạy cảm và cá nhân để bán,” Người phát ngôn của Google, Scott Westover, nói trong một tuyên bố khi chúng tôi hỏi về cách Google thực thi chống lại việc bán dữ liệu vị trí.
Apple không đáp lại yêu cầu bình luận của The Markup nhưng trong quá khứ cũng đã đưa ra các tuyên bố mơ hồ về cách họ xử lý chuyển giao từ máy chủ đến máy chủ từ các nhà môi giới dữ liệu.
Và mặc dù chính sách của Google ngăn chặn việc bán dữ liệu vị trí, công ty chưa giải thích cách họ sẽ phát hiện các nhà phát triển bán trực tiếp dữ liệu. Google không trả lời tại sao Life360 có thể bán dữ liệu vị trí khi chúng tôi liên lạc để bình luận vào tháng 11. Tháng 1, Google chỉ nhấn mạnh lại chính sách của công ty khi chúng tôi theo dõi vấn đề chuyển giao trực tiếp từ máy chủ của X-Mode.
Không có người phát ngôn nào đề cập đến câu hỏi về cách các công ty có thể hy vọng thực thi chính sách của họ và làm thế nào họ xác định những ứng dụng đang làm gì với dữ liệu vị trí của người dùng, ngay cả khi các nhà môi giới dữ liệu ngày càng chuyển sang cách nhận dữ liệu vị trí từ ứng dụng mà khó truy tìm.
Làm thế nào các nhà môi giới dữ liệu có thể né tránh chính sách của Apple và Google?
Công nhân trong ngành dữ liệu vị trí nói với The Markup rằng các nhà môi giới dữ liệu ngày càng thu thập dữ liệu trực tiếp từ các nhà phát triển ứng dụng thay vì phụ thuộc vào SDKs, thường để lại dấu vết kỹ thuật số. Và không rõ là làm thế nào Apple và Google có thể theo dõi cách các ứng dụng chia sẻ và bán dữ liệu sau khi nhận nó.
“Nhìn vào SDK là một cách để cố gắng bảo vệ quyền riêng tư của mọi người chống lại các nhà môi giới dữ liệu. Nhưng bạn cũng phải nhìn vào tất cả các cách khác mà nó xảy ra, bao gồm qua các giao dịch thương mại, nơi Công ty A nói với Công ty B, chúng tôi sẽ bán cho bạn bộ dữ liệu này về vị trí GPS của người dùng,” Sherman nói.
The Markup phát hiện rằng ứng dụng an toàn cho gia đình Life360 có thỏa thuận chuyển giao trực tiếp dữ liệu vị trí về người dùng của mình đến máy chủ của một số khách hàng dữ liệu của mình. Một cựu nhân viên Life360 cho biết dữ liệu họ cung cấp cho Cuebiq được cập nhật mỗi năm 5 phút, và một cựu nhân viên X-Mode cho biết họ có một quy trình hàng ngày để rút dữ liệu mới từ Life360 đến máy chủ của họ. Các cựu nhân viên đều nói dưới điều kiện giữ bí mật tên vì họ đều còn làm việc trong ngành dữ liệu.
Sau bài báo của The Markup, Life360 thông báo sẽ kết thúc những mối quan hệ đó và ngừng bán dữ liệu vị trí chính xác cho tất cả các nhà môi giới ngoại trừ Arity của Allstate, nhưng vẫn tiếp tục bán dữ liệu vị trí tổng hợp cho Placer AI.
Hai cựu nhân viên X-Mode nói với The Markup rằng công ty đã lâu đã sử dụng chuyển giao trực tiếp từ máy chủ để thu thập dữ liệu vị trí từ các nhà phát triển ứng dụng và rằng nhiều dữ liệu đến theo cách này hơn là thông qua SDK của công ty. Các cựu nhân viên X-Mode nói chuyện với The Markup dưới điều kiện không được sử dụng tên vì họ vẫn hoạt động trong ngành dữ liệu.
Và The Wall Street Journal đưa tin sau khi Google và Apple cấm SDK của nó, X-Mode chuyển sang phương pháp này để thu thập dữ liệu.
Một nhà phát triển trước đây đã bán dữ liệu vị trí cho X-Mode cũng nói với The Markup rằng anh ấy đã nhận được nhiều đề nghị từ các nhà môi giới dữ liệu khác để chia sẻ dữ liệu thông qua chuyển giao trực tiếp từ máy chủ này sang máy chủ khác. Nhà phát triển nói chuyện với The Markup dưới điều kiện giữ bí mật vì có điều khoản mật động trong hợp đồng của anh ấy với X-Mode.
X-Mode không phải là người môi giới duy nhất sử dụng phương pháp này.
Trong một email được gửi đến một nhà phát triển ứng dụng và được The Markup xem xét, Veraset, một nhà môi giới dữ liệu vị trí thuộc sở hữu của SafeGraph, đề xuất rằng nhà phát triển có thể “gửi dữ liệu đến máy chủ Veraset (không cần cài đặt hoặc duy trì SDK).” Thông điệp cũng lưu ý rằng các ứng dụng có thể kiếm từ 12.000 đến 1 triệu đô la mỗi năm để gửi dữ liệu vị trí của người dùng của họ đến công ty.
Apple và Google có thể làm gì để ngăn chặn việc bán dữ liệu vị trí?
Các nhà nghiên cứu cho biết Apple và Google có thể thực hiện một số bước để thông tin người dùng về những gì đang xảy ra với dữ liệu của họ, nhưng việc ngăn chặn thực sự về việc bán dữ liệu sẽ phải đến từ sự can thiệp của chính phủ.
“Điều duy nhất mà cửa hàng ứng dụng có thể phát hiện là liệu ứng dụng có chứa các SDK khác nhau hay không, hoặc khi bạn chạy nó, liệu nó có gửi dữ liệu đến các máy chủ của bên thứ ba khác nhau hay không,” Serge Egelman, một nhà nghiên cứu tại Viện Khoa học Máy tính Quốc tế của Đại học California, Berkeley, nói. “Đó là hầu như phạm vi mà bất kỳ người nào cũng có thể phát hiện bằng công nghệ. Phần còn lại đến từ một vấn đề chính sách.”
Anh ấy nói rằng Apple và Google có thể thực thi chính sách chống lại các nhà môi giới dữ liệu vị trí bằng cách yêu cầu ứng dụng tiết lộ người họ bán dữ liệu người dùng cho nếu muốn có mặt trong cửa hàng ứng dụng của họ. Nhưng một chính sách như vậy cũng sẽ phụ thuộc nặng vào hệ thống tôn trọng lẫn nhau.
“Nếu họ nói dối trong những phản hồi đó, không có ai thực sự kiểm tra họ,” Egelman nói. “Nếu có mối quan hệ hợp đồng với các công ty và bên thứ ba, trong đó họ trực tiếp chuyển dữ liệu từ máy chủ của họ sau khi họ đã nhận được từ các ứng dụng, không có cách thực sự để phát hiện ra điều đó. Không có nhiều điều Apple hoặc Google có thể làm.”
Mà không có sự quy định từ chính phủ, phương pháp hiện tại của Apple và Google là theo kịp với các nhà môi giới dữ liệu cho mỗi cách mới để chia sẻ dữ liệu vị trí, các chuyên gia nói.
Ví dụ, trong khi nhà phát triển ứng dụng có thể tiềm ẩn nói dối với Apple và Google mà không có cách nào để kiểm tra các công ty, họ sẽ phải đối mặt với một rủi ro lớn nếu vi phạm luật bảo vệ dữ liệu tổng quát của Liên minh Châu Âu.
Luật này, yêu cầu các công ty phải tiết lộ tất cả bên thứ ba có thể nhận được dữ liệu của người nào đó, có thể là một kiểm tra mạnh mẽ hơn đối với chuyển giao trực tiếp từ máy chủ hơn là kiểm tra cửa hàng ứng dụng.
“Nếu nhà phát triển quyết định thu thập trực tiếp dữ liệu và sau đó bán cho một công ty khác ... điều này sẽ phức tạp hơn một chút để người dùng nhận biết rằng dữ liệu này được thu thập để bán cho một công ty khác,” Esther Onfroy, đồng sáng lập Exodus Privacy, một công cụ kiểm tra ứng dụng Android để tìm kiếm các máy theo dõi bằng cách tìm kiếm SDK, nói. “Với GDPR, khi bạn quyết định thu thập dữ liệu vị trí, bạn như một nhà phát triển, bạn phải nói rằng, ‘Tôi sẽ thu thập dữ liệu vị trí của bạn và nó sẽ được gửi hoặc thu thập trực tiếp bởi bên thứ ba này hoặc bởi đối tác này,’ và bạn có thể từ chối.”
Hoa Kỳ không có luật bảo vệ dữ liệu quốc gia, mặc dù một số bang, như California, có quy định riêng của họ. Tuy nhiên, đạo luật bảo vệ quyền riêng tư của California chỉ yêu cầu các công ty tiết lộ chỉ các loại bên thứ ba nhận dữ liệu, chứ không phải là các nhà môi giới dữ liệu cụ thể.
“Chơi trò đánh bại châu chấu có thể hoạt động cuối cùng, nhưng việc áp dụng một phương pháp quản lý quy định hệ thống có hiệu quả hơn đối với vấn đề này,” Sherman của Đại học Duke nói.
Bài viết này được xuất bản ban đầu trên The Markup và được tái xuất bản dưới giấy phép Creative Commons Attribution-NonCommercial-NoDerivatives.