Tai nieko nenustebins: mobiliųjų programėlių kūrėjai kartais peržengia leistinas ribas ir apie naudotojus renka daugiau informacijos nei leidžia įstatymai. Tačiau kaip dažnai tai nutinka? Veikiausiai dažniau nei tikitės.
Tai nieko nenustebins: mobiliųjų programėlių kūrėjai kartais peržengia leistinas ribas ir apie naudotojus renka daugiau informacijos nei leidžia įstatymai. Tačiau kaip dažnai tai nutinka? Veikiausiai dažniau nei tikitės.
Kaip skelbia svetainė „Engadget“, siekiant nustatyti JAV vaikų teisių apsaugos įstatymų pažeidinėjimo internete mastą buvo atliktas automatizuotas patikrinimas ir nustatyta, kad 3 337 „Android“ programėlės, skirtos šeimai ir vaikams, netinkamai rinko duomenis apie vaikus ir galimai pažeidė amerikietišką COPPA įstatymą (kuris riboja vaikų iki 13 metų informacijos rinkimą).
Akivaizdžių įstatymo pažeidimų buvo tik keletas, tačiau daugybė programėlių taikė praktiką, kurią galima būtų vertinti mažų mažiausiai kaip „įtartiną“. Į automatizuotos analizės sąrašą buvo įtrauktos 5 855 programėlės, iš jų 281 rinko kontaktinę ar vietos nustatymo informaciją be tėvų leidimo, ko reikalauja COPPA įstatymas. 1 100 programėlių su trečiosiomis šalimis dalinosi nekintančia vartotojo atpažinimo informacija, o 2 281, panašu, pažeidė „Google“ paslaugų teikimo sąlygas, draudžiančias šią atpažinimo informaciją tiekti toms pačioms tarnybinėms stotims, kurios gauna ir „Android Advertising ID“ žymę (suteikiančią galimybę sekti vartotoją).
Apie 40 proc. analizuotų programėlių vartotojų informaciją perdavinėjo netaikant „protingų saugumo priemonių“ ir beveik visos iš 1 280 programėlių, susietų su „Facebook“, netinkamai naudojo šio socialinio tinklo žymeklius, ribojančius programėlių naudojimą asmenims, jaunesniems nei 13 metų (nors tikėtina, kad taip buvo daroma nesiekiant pažeidinėti įstatymą).
Vienas dažniausiai šiame tyrime linksniuojamų pažeidėjų yra Kaune įsikūrusi bendrovė „Tiny Lab Productions“. Tyrimo autoriai nurodo, kad 81 iš 82 šios bendrovės programėlių dalinasi GPS duomenimis su reklamos bendrovėmis, taip pat reklamos bendrovėms perduodama informacija apie naudojamo „Wi-Fi“ prieigos taško pavadinimą (SSID), pagal kurį taip pat įmanoma išpešti naudingos informacijos. 19 programėlių perdavinėjo savininko elektroninio pašto adresą serveriui, esančiam adresu tinylabproductions.com.
Tyrimo autoriai griežtai laikosi pozicijos, jog jų pateikiami rezultatai nereiškia „aiškios teisinės atsakomybės“: nors programėlės įstatymą ir pažeidžia, tačiau pažeidimo faktą turi nustatyti JAV ryšių reguliavimo tarnyba. Duomenys apie pažeidimų dažnumą „iOS“ platformoje nebuvo renkami.
Ydinga metodika?
Situaciją „15min“ pakomentavo „Tiny Lab Productions“ vadovas Jonas Abromaitis. Jis tvirtina, kad jo įmonės programėlėse COPPA įstatymo reikalavimų griežtai laikomasi.
„Pradėjome segmentuoti savo žaidėjus i tuos, kuriems dar nėra 13 metų ir tuos, kuriems virš 13. Taip pat – įkeldami žaidimus į „Play Store“ žymime, kad žaidimai nėra skirti tik vaikams, žymime kad žaidimai skirti šeimoms bei dedame juos į „Mixed audiences“ kategoriją. Tuomet, jeigu žaidėjui įvedus savo gimimo metus nustatoma kad jam nėra 13 metu, jokia informacija nerenkama ir su žaidėju elgiamasi pagal COPPA reikalavimus“, – sakė įmonės vadovas.
Tyrimo rezultatus ir dažną įmonės pavadinimo linksniavimą neigiamame kontekste jis siejo su galbūt netinkamai taikyta tyrimo metodika.
„Simuliacijose, kurias atliko tyrėjai, jie greičiausiai nurodė amžių virš 13 metų ir tada stebėjo duomenų srautus, kitaip jokių goelokacijos ar kitokių asmeninių duomenų neturėjo būti perduodama“, – svarstė J. Abromaitis.
Jis pridūrė, kad apie bet kokį duomenų rinkimą ir visus partnerius, su kuriais dalinamasi vartotojo informacija, pateikiama išsami informacija „Naudojimo taisyklėse“ (angl. Terms of Use) ir „Privatumo politikoje“ (angl. Privacy Policy).
„Aiškiai nurodome, kokia informacija ir kokiais tikslais renkama. Taip pat nurodome ir partnerius, kurie prie šios informacijos prieina. Nors ši informacija renkama tik iš tų žaidėjų, kuriems yra virš 13 metų, nustatymuose žaidėjas gali atsisakyti informacijos rinkimo (opt-out)“, – tvirtino J. Abromaitis.
