研究人员确定了被追踪手机的75,000个数据点
我们大多数人都已经知道,无论是通过电信服务提供商,谷歌这样的技术巨头还是我们使用的各种应用程序,都在不断跟踪我们的智能手机。
一位研究人员决定查看收集信息或数据的位置,类似于学生追踪其手机的小偷时的情况。
马丁·贡德森(Martin Gundersen)在博客文章中详细介绍了他的叙述,首先从一家名为Venntel的公司索要有关他的所有数据的信息,该公司众所周知为美国政府提供了信息,在过去尤其是向美国移民和海关执法局(ICE)提供了类似信息。
根据GDPR授予他的权利,他是挪威公民。结果令人震惊。
在询问了马丁最近访问过的地址,核实了他提供的广告ID并提供了他的当前地址后,他们在1个月后向他发送了一封电子邮件。
该电子邮件包含有关自2月15日以来他的下落的信息,发生了75,406起事件,并跟踪了他的每一次运动,如下图所示的数据收集点所示:
但是,在数据中未找到姓名或联系方式,例如电话号码,但研究人员仍然认为数据并未匿名。研究人员在解释进一步的细节时在其博客文章中写道,
在Google和白页中进行简单搜索,就会发现有一个马丁·甘德森(Martin Gundersen)住在奥斯陆的Sorgenfrigata,并在NRK Marienlyst工作。
对此,出现了一个问题,即一家美国公司如何访问他的数据?手机上没有安装任何应用程序属于Venntel,怎么办?马丁解释了这一旅程,
在新一轮的访问请求中,发现最终在Venntel出现的某些位置数据来自斯洛伐克的一个名为Sygic的应用程序开发人员,该应用程序包含70种不同的应用程序。
2月15日,我安装了Sygic的两个导航应用程序。双方都要求我同意一些个性化广告体验的条款。
如上流程图所示,这2个应用程序随后将数据发送到了Venvy的母公司Gravy Analytics,尽管从技术上讲,这将违反Sygic的应用程序要求用户接受的用户同意形式。
这是因为Gravy声明可以将数据用于与客户甚至是间接政府机构共享以用于不同的目的,这与Sygic最初与Martin达成的协议相反:
我已经咨询了三位律师,他们都是隐私权专家,分别是Malgorzata Agnieszka Cyndecka,Lee Bygrave和ArveFøyen。他们认为,将我的个人信息用于我未曾同意的其他目的的事实明显违反了GDPR。
总而言之,马丁发现了很多东西,包括另一个跟踪他的应用程序作为其他示例。无论如何,这向我们证明了公司仍在违反GDPR,但是以难以识别它们的方式,特别是由于复杂的数据流。
此外,数据保护机构还需要开始施加高额罚款,以起到威慑作用,而这将通过封锁所有认为可能不会在现有的大量应用程序中受到“检查”的用户而实现。