Facebook是如何搜集Android上的運用數據

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

之前的研究表明,Google Play商店中42.55%的免費應用程序可以與Facebook共享數據,使得Facebook成為僅次於Google母公司Alphabet的第二大流行第三方跟蹤器。在本文中,Privacy International說明了這種數據共享在實踐中的樣子,特別是對於沒有Facebook帳戶的人。

在美國和歐洲聽證會上,立法者在劍橋分析公司醜聞發生後,提出了Facebook是否收集有關未登記用戶或沒有帳戶的用戶信息的問題。然而,討論以及數據保護機構之前對非用戶跟蹤的罰款往往側重於PC上發生的跟蹤。關於公司從App搜集的數據知之甚少。出於這些原因,在本文中,我們提出了有關我們認為及時且重要的App數據透明度和使用的問題。

Facebook通常通過Facebook Business Tools跟蹤其平台之外的用戶,包括非註冊用戶和非登錄用戶。應用程序開發人員通過Facebook軟件開發工具包(SDK)與Facebook共享數據,這是一套軟件開發工具,可幫助開發人員為特定操作系統開發App。Privacy International使用名為「mitmproxy」的免費和開源軟件工具(一個交互式HTTPS代理),分析了Android上34個應用程序的數據,每個App的安裝基數從1千萬到5億,都是通過Facebook SDK傳輸到Facebook。

所有應用程序都在2018年8月到12月之間進行了測試,最後一次重新測試發生在2018年12月3日至11日之間。完整的文檔,包括每個應用程序的確切測試日期,可以在https://privacyinternational.org/appdata

發現

•我們發現,在用戶打開App的那一刻,我們測試的至少61%的應用程序會自動將數據傳輸到Facebook。無論人們是否擁有Facebook帳戶,或者他們是否登錄到Facebook,都會發生這種情況。

•通常,首先自動傳輸的數據是類似「App已安裝」或者「SDK已初始化完成」等,用戶每打開一次App,都標識用戶在使用特定App。

•在我們的分析中,自動將數據傳輸到Facebook的App都帶有一個唯一標識符(例如:Google廣告ID(AAID))。廣告ID的主要目的,例如Google廣告ID(或Apple的設備碼,IDFA),是允許廣告客戶將來自不同應用和網路瀏覽的用戶行為數據搜集到他們的引擎中。把這些數據結合起來分析,就可以得到不同App的用戶畫像,包括人們的活動,興趣,行為等,甚至有關人們健康或宗教的信息。例如,安裝了我們測試過的以下App的個人,「Qibla Connect」、「Period Tracker Clue」、「Indeed」(、「My Talking Tom「,她的畫像可能被描述為可能是女性,可能是穆斯林,可能是求職者,可能是父母。

•如果把來自不同App的「App 已安裝」,「SDK 已初始化」和「非活躍app」等事件數據結合分析,也可以詳細了解數億人的App使用行為。

•我們還發現,一些應用程序會定期發送非常詳細且有時敏感的Facebook數據。同樣,這涉及到退出Facebook或沒有Facebook帳戶的人的數據。一個典型的例子是旅行搜尋和價格比較應用程序「KAYAK」,它將有關人們的航班搜尋的詳細信息發送到Facebook,包括:出發城市,出發機場,出發日期,到達城市,到達機場,到達日期,門票數量(包括兒童人數),門票類別(經濟艙,商務艙或頭等艙)。

討論

Facebook對App有明確要求,以確保他們在向Facebook提供任何數據之前擁有收集,使用和共享人員數據的合法權利。但是,Facebook SDK的默認做到旨在自動將事件數據傳輸到Facebook。

自2018年5月25日 – 歐盟通用數據保護法規(GDPR)生效之日起 – 開發人員一直在Facebook的開發者平台上提交bug報告,要求

Facebook SDK自動上報數據前,必須征得用戶同意或者許諾。在2018年6月28日,Facebook發布了一項自願功能,允許開發人員在獲得用戶同意之前推遲收集自動記錄的事件。該功能在GDPR生效35天後啟動,僅適用於SDK版本4.34及更高版本。

針對此此文,Facebook於2018年12月28日向Privacy International發送了一封電子郵件:「在我們推出」延遲「選項之前,開發人員能夠禁用自動事件記錄數據的傳輸,但如果SDK已初始化還是不能避免。在6月更改我們的SDK之後,該項功能才能生效「。

這個問題是我們在研究結果中觀察到的數據。我們假設在發布此修復功能之前,許多在Android生態系統中使用Facebook SDK的應用程序因此無法阻止或延遲SDK自動收集和共享SDK已初始化,這將會向Facebook發送用戶在使用App的時間和時長等數據

結論

如果Facebook沒有任何進一步的透明度,就不可能確切地知道我們在本文中描述的數據是如何被使用的,更為特別是Facebook過去還搜集了非Facebook用戶數據。

我們的研究結果也提出了許多法律問題。 由於這項研究是在英國進行的,我們專注於相關的歐盟框架,即歐盟數據保護(「GDPR」)和電子隱私法(電子私人指令2002/58 / EC,由成員國法律實施)以及競爭 法。 一個潛在的主題是涉及的各個參與者的責任,包括Facebook。

About 尋夢園
尋夢園是台灣最大的聊天室及交友社群網站。 致力於發展能夠讓會員們彼此互動、盡情分享自我的平台。 擁有數百間不同的聊天室 ,讓您隨時隨地都能找到志同道合的好友!