Applen käyttöön ottamat “tietosuojamerkit”: mitä tietoja sovellukset keräävät sinusta
Ei ole täysin selvää, kuinka tehokkaita nämä varoitukset ovat, mutta yritys itsessään on lupaava.
AppStoren Mac- ja iOS-sovellukset näyttävät nyt vaaditut tunnisteet, joissa ne tarjoavat yhteenvedon tietosuojakäytännöstään. Tämä on eräänlainen "ravintolisätieto", vain sovelluksille. Siten Apple näyttää selkeästi, mitä tietoja sovelluksella on käytettävissään, sekä mitä se tekee seuraavaksi näillä tiedoilla.
Ajatus yksityisyyden ja sen rikkomisesta varoittavien tarrojen kehittämisestä ei ole uusi. 2010-luvun alussa akateemiset tutkijat olivat jo kehittäneet prototyyppejä tietosuojatunnisteista mobiilisovelluksiin. Jo aikaisemmin maat, kuten Suomi, Singapore ja Iso-Britannia, alkoivat edistää IoT-laitteiden turvallisuudelle omistettuja etikettejä. Mutta Apple näyttää olevan ensimmäinen teknologiajätti, joka käyttää ja mainostaa tätä taktiikkaa todella suuressa mittakaavassa.
"Applen lähestymistapa näyttää lupaavalta, mutta ei ole selvää, kuinka paljon käyttäjätestauksia on tehty tätä varten", sanoo Lorrie Cranor, CyLabin CyLab-tietosuoja- ja tietoturvalaboratorion johtaja Carnegie Mellonissa. "Kun skenaario kehittyy oikeiden sovellusten ja todellisten käyttäjien kanssa, on mielenkiintoista nähdä, mikä toimii ja mikä ei – ymmärtävätkö kehittäjät kuinka antaa tietoja oikein, puhuvatko he todella totta ja ymmärtävätkö käyttäjät mitä tämä tarkoittaa – kaikki nämä kysymykset ovat avoinna."
Tarrassa on kolme luokkaa: seurantaan käytetyt tiedot, sinuun liittyvät tiedot ja sinuun liittämättömät tiedot. Jokaisessa on valintaruudut, jotka kertovat, mitä sovelluksella on konepellin alla. Tunniste voi osoittaa, että sovellus haluaa kerätä sijaintisi, rahoituspalvelusi tai yhteystietosi, ja linkittää sen voimassa olevaan tiliin tai tunnisteisiin, kuten laitetunnukseesi.
Tietosuojatunniste voi mennä pidemmälle ja ilmoittaa, että sovellus jakaa tietojasi kolmansille osapuolille, kuten yrityksille, jotka seuraavat sinua verkkosivustojensa ja palveluidensa kautta.
Monet sovellukset ovat jo lähettäneet tietoa toimintatavoistaan ja saavat Privacy Label -tietonsa minä päivänä tahansa, mutta ne tulevat kaikkialle vasta hetken kuluttua. Tietosuojatietojen antaminen vaaditaan, kun kehittäjä lähettää uuden sovelluksen tai päivityksen Applelle tarkistettavaksi, ja monilla sovelluksilla on harvoin päivitysjaksoja. Apple kuitenkin sanoo, että jotkut kehittäjät lisäsivät tiedot joka tapauksessa, kenties välttääkseen piilottamasta mitään.
Mutta nykypäivän todellisuudessa on vaikea löytää sovellusta, joka ei seuraa eikä tunnista käyttäjiä. Koska tietojen toimittaminen pikakuvakkeille on nyt pakollista iOS- ja macOS-sovelluskaupoissa, on kehittäjän tehtävä toimittaa asiatiedot ja päivittää ne ajan myötä.
"Olet vastuussa vastaustesi tarkkuudesta ja oikea-aikaisuudesta", Applen kehittäjäoppaassa sanotaan.
Sovelluskaupat, kuten Google Play ja App Store, ovat jatkuvasti tukahduttaneet haitallisia sovelluksia, jotka epäonnistuvat näissä tarkastus- ja vahvistusprosesseissa. Tämän ilmiön säännöllisyyden vuoksi näyttää siltä, että myös harhaanjohtavia tietosuojalausuntoja tulee toisinaan esiin, ainakin siihen asti, kunnes tutkijat tai asiasta kiinnostuneet käyttäjät huomaavat ja osoittavat epäjohdonmukaisuuksia.
Washingtonin yliopiston tietosuojatutkija Pardis Emami-Nayini, joka työskenteli Cranorin ja muiden kanssa esineiden internetin suojausmerkintöjen kehittämiseksi, huomauttaa, että väärät tiedot eivät ole ainoa este. Jotkut kehittäjät eivät välttämättä ymmärrä täysin tietojen toimittamista koskevia vaatimuksia tai heillä ei välttämättä ole kattavaa ymmärrystä siitä, kuinka heidän sovelluksensa kerää ja hallitsee tietoja. Tämän voi tuntua siltä, että sen pitäisi olla itsestään selvää, mutta itse asiassa kehittäjät luovat usein sen, mitä heille sanotaan antamatta suuntaa, joka heijastelee erityisesti tiedonkulkua.
Esimerkiksi on sanomattakin selvää, että sovellukset sisältävät usein jo olemassa olevaa avointa lähdekoodia, joka saattaa sisältää seuranta- tai tiedonkeruumekanismeja, joista kehittäjät eivät ole täysin tietoisia. Applen yksityisyyden jakamisprosessi voi olla kehittäjille hyvä tilaisuus varmistaa, että he todella ymmärtävät, mitä heidän ohjelmistonsa sisällä tapahtuu. Mutta on yhtä helppoa kuvitella, kuinka jotkut kehittäjät eivät ole kiinnostuneita ja menettävät tärkeitä yksityiskohtia.
On myös tiettyjä tiedonkeruutyyppejä, jotka "valinnaisesti julkistetaan", koska tietoja ei käytetä seurantatarkoituksiin tai niitä kerätään harvoin. Tyyppi on tarkoitettu helpottamaan asioita, sillä on suotuisia tilanteita, joissa sovellus kerää esimerkiksi kertaluonteisen sijaintipingin, mutta ei välitä sitä minnekään ja antaa käyttäjille selkeän opt-out-vaihtoehdon. Ongelmana on kuitenkin se, että "valinnainen paljastaminen" -luokka näyttää viljelemättömältä pellolta porsaanreikille ja kiertoteille.
"Jos täytät kaikki kriteerit, sinun ei tarvitse paljastaa tiettyjä keräämiäsi tietoja, mikä ei kuulosta hyvältä ajatukselta", Emami-Nayini sanoo. "Sovelluskehittäjien tarvitsee vain sanoa: "Täytämme nämä parametrit".
Emami-Naeni kiittää Applea siitä, että se on ottanut niin ison askeleen kohti tietojen esittämisen normalisointia käyttäjäystävällisellä tavalla, jolloin heidän ei tarvitse opetella monimutkaista ja läpinäkymätöntä tietosuojakäytäntöä. Mutta hän korostaa olevansa huolissaan myös siitä, kuinka Apple hallitsee tarrojen tietojen tarkkuutta.
Kuten elintarvikelisäainetietojen kohdalla, monet käyttäjät yksinkertaisesti jättävät sen huomiotta tai tarkistavat vain yhden heille tärkeän kriteerin. Mutta ihmisille, jotka todella opiskelevat ja käyttävät tarroja, tietojen on maalattava tarkka kuva ollakseen hyödyllisiä.
Jos pidit tästä artikkelista hyödyllistä, jaa se ystäviesi kanssa sosiaalisissa verkostoissa!
Wiredin mukaan.