Czy handel danymi jest poza kontrolą?

Zdjęcie: Vojtech Okenka/Pexels
 

Baza danych przeanalizowana przez Bayerischer Rundfunk wraz z netzpolitik.org i międzynarodowymi mediami partnerskimi zapewnia dogłębny wgląd w życie milionów użytkowników aplikacji na całym świecie - w tym prawie 800 000 osób z całych Niemiec. Ich dane lokalizacyjne są przedmiotem obrotu na międzynarodowych rynkach danych. Baza danych pokazuje również przypuszczalne źródło danych: łącznie prawie 40 000 aplikacji na urządzenia Apple i Android. Przynajmniej przybliżone lokalizacje użytkowników można uzyskać ze wszystkich z nich, na przykład na obszarze dzielnicy. Szczególnie ważne jest to, że według badań, niektóre aplikacje dostarczają również dokładnych danych o lokalizacji, pokazując na przykład dokładne miejsca zamieszkania i pracy.

Takie dane zostały prawdopodobnie uzyskane z aplikacji, które należą do najczęściej używanych w Niemczech, takich jak WetterOnline, Flightradar24, Kleinanzeigen i FOCUS online. Zespół badawczy był w stanie skontaktować się z kilkoma użytkownikami aplikacji i zweryfikować dane.

Dane przypuszczalnie pochodzą z branży reklamowej

Baza danych pochodzi od amerykańskiej firmy Datastream, która przekazała je jako darmowy materiał ilustracyjny. Wiele wskazuje na to, że dane te pierwotnie pochodziły z niejasnej branży spersonalizowanych reklam internetowych. Dostawcy aplikacji przesyłają informacje od użytkowników w czasie rzeczywistym - takie jak ich lokalizacja lub model telefonu komórkowego - do dużej liczby internetowych marketerów reklamowych. Przykładowo, polityka prywatności Wetter Online wymienia ponad 800 podmiotów, którym firma udostępnia dane o swoich użytkownikach, w tym te z siedzibą poza Unią Europejską, na przykład w USA, Hongkongu, Singapurze czy Brazylii.

„Na przykład przy 850 odbiorcach nie sądzę, aby można było w jakiś sposób wyśledzić, kim faktycznie są te firmy” - mówi prawnik zajmujący się ochroną danych Martin Baumann z wiedeńskiej organizacji pozarządowej NOYB, która specjalizuje się w egzekwowaniu przepisów o ochronie danych. „Bardzo niewielu użytkowników zdaje sobie sprawę z obszernych profili, które mogą być tworzone na ich temat - przez organizacje, z którymi nigdy nie mieli żadnych bezpośrednich kontaktów”. Mówi on o ogromnej utracie kontroli. Przypadek z USA, który wyszedł na jaw w zeszłym tygodniu, pokazuje, jak niebezpieczne mogą być informacje o lokalizacji. Grupa hakerów z Rosji włamała się do amerykańskiej firmy Gravy Analytics i, jak donoszą media, grozi opublikowaniem obszernych materiałów, jeśli nie zostanie zapłacony okup. Niewielka ilość tych danych pojawiła się już w Internecie.

Prawie 40 000 aplikacji udostępnia lokalizacje

Zbiór danych, który jest dostępny dla Bayerischer Rundfunk, netzpolitik.org i partnerów międzynarodowych, zawiera 380 milionów lokalizacji 47 milionów użytkowników na całym świecie w jednym dniu w lipcu 2024 r. Każda indywidualna lokalizacja jest przypisana do aplikacji, z której prawdopodobnie pochodzi. Zapytany o to Burda Forward, operator aplikacji Focus Online, oświadczył, że ściśle przestrzega obowiązujących przepisów: „Focus Online nie ma żadnych relacji biznesowych z wyżej wymienioną firmą i nie przekazał jej żadnych danych. Nie upoważniliśmy również żadnego z naszych partnerów biznesowych do przekazywania im danych użytkowników. Jesteśmy zaniepokojeni tym globalnym nadużyciem danych i mamy wielką nadzieję, że zostanie przeprowadzone dochodzenie w celu ustalenia, gdzie doszło do nielegalnego transferu danych.

„Operatorzy aplikacji Wetter Online, Kleinanzeigen i Flightradar24, z których pochodzą dokładne dane o lokalizacji, nie odpowiedzieli na pytania BR i netzpolitik.org ani międzynarodowemu zespołowi badawczemu przed upływem terminu redakcyjnego. Amerykański dostawca danych Datastream również pozostawił zapytanie bez odpowiedzi.

Aplikacje, dla których dostępne są przybliżone dane o lokalizacji, prawdopodobnie pochodzące z adresów IP, obejmują popularne aplikacje, takie jak gra Candy Crush, aplikacje randkowe Tinder, Grindr i Lovoo lub aplikacje e-mail z web.de i gmx. Grindr i Candy Crush nie odpowiedziały na zapytanie. Lovoo, gmx/web.de i Tinder twierdzą, że nie mają żadnych relacji biznesowych z podmiotami handlującymi danymi Datastream lub Gravy.

Możliwość łączenia baz danych

Wszystkim użytkownikom w zbiorze danych przypisywany jest unikalny numer identyfikacyjny, Mobile Advertising ID. Umożliwia to ich rozpoznanie w innych rejestrach danych, z których niektóre zawierają dokładne lokalizacje. Tak jest w przypadku kobiety z Dolnej Bawarii zidentyfikowanej przez BR i netzpolitik.org: Łącząc dane z innymi rejestrami danych dostępnymi również dla zespołu badawczego, wyłania się jej dokładne miejsce zamieszkania i inne prywatne szczegóły: mieszka w domu jednorodzinnym, odwiedziła pobliski szpital i specjalistyczną klinikę, z której wizyty można było nawet wyciągnąć wnioski na temat poufnych danych zdrowotnych. Przez telefon potwierdza, że dane są prawdziwe i że faktycznie korzysta z aplikacji pogodowej od Wetter Online. W danych znajdują się setki tysięcy takich przykładów.

W ubiegłym roku BR i netzpolitik.org informowały o tym, jak żołnierze i pracownicy służb wywiadowczych mogą być szpiegowani przy użyciu danych o lokalizacji. Według ekspertów, niemieckie służby wywiadowcze wykorzystują również dane od sprzedawców danych.

Organy ochrony danych zapowiadają kontrole

W konfrontacji z wynikami badań, prezes Bawarskiego Państwowego Urzędu Nadzoru Ochrony Danych, Michael Will, mówi o rażącym naruszeniu zaufania: „Nikt się tego nie spodziewa. Możliwość śledzenia ich miejsca pobytu kilka miesięcy później jest sprzeczna ze wszystkim, czego użytkownicy oczekiwaliby od aplikacji”. Will jest odpowiedzialny za aplikacje z siedzibą w Bawarii i zapowiedział, że będzie „intensywnie” korzystał ze swoich uprawnień śledczych: „Mamy możliwość nałożenia znacznych grzywien”.

Krajowy komisarz ds. ochrony danych w Nadrenii Północnej-Westfalii, który jest odpowiedzialny za Wetter Online, powiedział: „Ponieważ dane o lokalizacji mogą być wykorzystywane do tworzenia profili ruchu użytkowników, które mogą być wykorzystywane na przykład do celów reklamowych lub nadzoru, dane o lokalizacji są szczególnie warte ochrony”. Nie jest jednak możliwe szczegółowe komentowanie badań bez przedstawienia i zbadania dowodów, ponieważ proces ten nie został jeszcze upubliczniony.

Ministerstwo wzywa do ochrony przed spersonalizowaną reklamą

Federalne Ministerstwo Ochrony Konsumentów uważa, że organy nadzorcze krajów związkowych mają obowiązek - i widzi potrzebę podjęcia działań na szczeblu Unii Europejskiej: „Potrzebujemy skutecznej ogólnounijnej ochrony przed spersonalizowaną reklamą, aby uniemożliwić dostawcom aplikacji gromadzenie większej ilości danych niż jest to konieczne do zaoferowania aplikacji” - ogłosiło ministerstwo.

Federacja Niemieckich Organizacji Konsumenckich pisze na żądanie: „Pozbawieni skrupułów handlarze danymi zbierają i rozpowszechniają bardzo wrażliwe informacje o ludziach, podczas gdy strony internetowe i aplikacje umożliwiają te nielegalne praktyki, a organy nadzoru wydają się być całkowicie przeciążone”. Obecne ustalenia pokazują i potwierdzają po raz kolejny, że globalny rynek reklamy internetowej wymknął się spod wszelkiej kontroli.