ועדת הסחר הפדרלית של ארה"ב (FTC) הגישה ביום שלישי אתְלוּנָהוהציעהחלטה וסדרנגד שני מתווכים מבוססי וירג'יניה בטענה שהם עקבו ומכרו שלא כדין נתוני מיקום צרכנים רגישים. נתונים אלה, שכללו מידע על ביקורים במתקנים ובמקומות פולחן הקשורים לבריאות, נאספו ונמכרו לכאורה לגורמים ממשלתיים ומסחריים ללא קבלת הסכמת משתמש ניתנת לאימות תוך הפרה של חוק ה-FTC.
לאחר סיום ההוראה, הצו יקבל את תוקף החוק, וכל הפרה עשויה לגרור עונשים אזרחיים של עד 51,744 דולר לכל הפרה. ה-FTC טוען בתלונתה כי מבוסס וירג'יניהGravy Analyticsוהחברה הבת שלה,Venntel Inc., "לטעון 'לאסוף, לעבד ולאסוף' למעלה מ-17 מיליארד אותות מכמיליארד מכשירים ניידים על בסיס יומי."
ה-FTC טוענת ששתי החברות "הפרו את חוק ה-FTC על ידי מכירה לא הוגנת של נתוני מיקום צרכנים רגישים ועל ידי איסוף ושימוש בנתוני מיקום של צרכנים מבלי לקבל את הסכמת המשתמש הניתנת לאימות לשימושים מסחריים וממשלתיים".
האתר של Gravy Analytics אומר שהוא "מכבד את פרטיות הצרכן ומבטיח שלא נעשה שימוש בנתוני מיקום שנאספים במיקומים רגישים, לא ישותפו או יימכרו מחדש".
הפעולה האחרונה של ה-FTC מסמנת את פעולת האכיפה החמישית של הנציבות המכוונת למתווכים בנתונים בגין טיפול שגוי בנתוני מיקום רגישים. פעולות קודמות - כולל שתיים השנה - בגין הפרות דומות הכוללות מכירת נתונים הקשורים למיקומים רגישים ננקטו נגדכוכבה,X-Mode,InMarket, ו- Mobilewalla.
המהלך האחרון של ה-FTC נגד Venntel ו- Gravy Analytics עשוי להצית את האש בקונגרס על רקע רכישת מידע צרכנים על ידי הממשלה מברוקרים. באוגוסט,עדכון ביומטרי כי התקבלה הצעת חוק דו-מפלגתית על ידי בית הנבחרים שתאסור על הממשלה לקנות מידע אישי מזהה של אמריקאים ממתווכים ומצברים נתונים. החקיקה תסגור את הפרצה של מתווך הנתונים בחוק המאפשרת לממשלות לקנות נתונים שאחרת היו צריכים צו להשיג. הצעת החוק התקבלה בעקבות אשל מתווך הנתונים National Public Data שמעמידים ג'יגה-בייט של מידע על מיליוני אנשים בסיכון.
מחוקקים ומשרד המשפטים (DOJ) מודאגים גם מהאיום הביטחוני הלאומי הנשקף ממתווכים ועסקים של צד שלישי שמוכרים את הנתונים שהם אוספים לגופים בעלי קשרים עם רוסיה, איראן, סין ומדינות אחרות מדאיגות. מתווכים נתונים אלה הם היעדים העיקריים של אחוק DOJ שהוצא באוקטובר שיאסור עליהם למכור את הנתונים שהם אוספים לכל גורם שיש לו קשרים עם מדינות שזוהו על ידי DOJ בכלל.
DOJ חשף את הכללים הסופיים שלו באוקטובר לביצוע הצו המבצעי של הנשיא ג'ו ביידן מה-28 בפברואר,מניעת גישה לנתונים אישיים רגישים בתפזורת של אמריקאים ולנתונים הקשורים לממשלת ארצות הברית לפי מדינות דאגה.
לפי התלונה האחרונה של ה-FTC, Gravy Analytics המשיכה להשתמש בנתוני המיקום של הצרכנים לאחר שנודע להם שצרכנים לא סיפקו הסכמה מדעת. Gravy Analytics גם מכרה באופן לא הוגן מאפיינים רגישים כמו החלטות בריאותיות או רפואיות, פעילויות פוליטיות ונקודות מבט דתיות שנגזרו מנתוני המיקום של הצרכנים, טוען ה-FTC.
התלונה המוצעת של ה-FTC בת שלוש נקודות טוענת ששתי החברות הפרו את סעיף 5(א) של חוק ה-FTC על ידי מכירה בלתי הוגנת של נתוני מיקום רגישים ואיסוף, שימוש והעברה בלתי הוגן של נתוני מיקום צרכנים ללא אימות הסכמה, וכי Gravy Analytics הפר את סעיף 5 של חוק FTC על ידי מכירה לא הוגנת של מסקנות לגבי מאפיינים רגישים של צרכנים שנגזרו מנתוני מיקום.
ביולי 2022 פרסם האיגוד האמריקאי לחירויות האזרח (ACLU) אלפי עמודים שלתקליטים שלא פורסמו בעברעל האופן שבו מכס והגנה על גבולות, הגירה ואכיפת מכס וסוכנויות אחרות של המחלקה לביטחון פנים "עקפו את זכות התיקון הרביעי נגד חיפושים ותפיסות ממשלתיות בלתי סבירות על ידי קניית גישה ושימוש בכמויות עצומות של מידע מיקום טלפון סלולרי של אנשים. מופק בשקט מאפליקציות סמארטפון" מאת Venntel ו-Babel Street.
ארבע שנים קודם לכן קבע בית המשפט העליוןקרפנטר נגד ארצות הברית שהממשלה זקוקה לצו כדי לגשת להיסטוריית המיקום של טלפון סלולרי מספקי שירותי סלולר בגלל "פרטיות החיים" שהרשומות הללו יכולות לחשוף.
ה-ACLU אמר כי "במסמכים שקיבלנו... מצאנו חומרי שיווק של Venntel שנשלחו ל-DHS המסבירים כיצד החברה אוספת יותר מ-15 מיליארד נקודות מיקום מיותר מ-250 מיליון טלפונים סלולריים ומכשירים ניידים אחרים מדי יום".
כחלק מההסדר המוצע של ה-FTC, על Gravy Analytics ועל Venntel ייאסר למכור, לחשוף או להשתמש בנתוני מיקום רגישים בכל מוצר או שירות. הם גם יידרשו להקים תוכנית נתוני מיקום רגישים כדי למנוע שימוש לרעה נוסף בנתונים כאלה.
מנהל הלשכה להגנת הצרכן של FTC, סמואל לוין, הדגיש את ההשלכות הרחבות יותר של שיטות העבודה של החברות, וקבע כי "מעקב סמוי על ידי מתווכים נתונים מערער את חירויות האזרח שלנו ומעמיד את חברי השירות, עובדי האיגודים, מיעוטים דתיים ואחרים בסיכון. זוהי הפעולה הרביעית של ה-FTC השנה המאתגרת את מכירת נתוני מיקום רגישים, והגיע הזמן שהתעשייה תתחיל להתייחס ברצינות להגנה על הפרטיות של האמריקאים".
"אולי אינך יודע דבר על Gravy Analytics, אבל Gravy Analytics עשוי לדעת עליך לא מעט", אמרו הנציב אלווארו מ. בדויה, היו"ר לינה מ. חאן והנציבת רבקה קלי סלוטר בהצהרה משותפת.
המפקחים טוענים כי Gravy Analytics צירף 1,100 תוויות "לצרכנים בודדים כדי למכור את הנתונים המצורפים שלהם לחברות פרטיות לצורך פרסום ממוקד - או כדי להבין טוב יותר את ה'פרסונה' של כל אדם נתון שהחברה ביקשה את הנתונים שלו. לפי התלונה שלנו, המשיבים עודדו באופן אקטיבי את הלקוחות שלהם לזהות אנשים בודדים באמצעות הנתונים שהם מכרו".
הנציבים אמרו בהצהרתם כי נתוני הטלפון הסלולרי יכולים לדעת מתי אדם אכל ארוחת בוקר במקדונלד'ס, רכש שמן CBD, הוא רפובליקני או דמוקרט, קנה הלבשה תחתונה, הוא בהריון, הורה בבית, "צווארון כחול הורה מדור X" או "חובב גולף שבדק לאחרונה את Medicare."
התלונה אומרת "Venntel אומרת ללקוחות פוטנציאליים ש'נתוני מיקום מאפשרים לקבל תובנות מהחיים האמיתיים לגבי דפוסי החיים של משתמשי מכשיר (POL), מיקומים שביקרו בהם ושותפים ידועים'. Venntel מסבירה עוד כי במהלך מעקב של 90 יום של 'מכשיר VIP', החברה הצליחה לזהות את 'מיקום השינה של משתמש המכשיר, מיקום העבודה וביקורים ב... בנייני ממשלת ארצות הברית' של משתמש המכשיר.
"בנוסף", נכתב בתלונות, "ב"מדריך מהיר' מסמך לאחד משירותיה, Venntel מציינת כי היכן נמצא מכשיר בשעות הערב תראה ללקוחותיה מתי הצרכן נמצא ב'בית, חדר כושר, בית ספר ערב וכו'. ואכן, חברות וגופים אחרים משתמשים בנתוני מיקום גיאוגרפי מדויקים כדי לזהות צרכנים ופעילותם".
"בדוגמה אחת מתוקשרת", נכתב בתלונות ה-FTC, "קבוצה השתמשה בנתונים מדויקים של מיקום גיאוגרפי נייד כדי לזהות בשמו כומר קתולי שביקר במקומות הקשורים ל-LGBTQ+, ובכך חשפה את הנטייה המינית של הכומר ואילצה אותו להתפטר מתפקידו. כדוגמה נוספת, עיתונאים שרכשו מיקום גיאוגרפי סלולרי מדויק ממתווך נתונים הצליחו לעקוב אחר צרכנים לאורך זמן, וכתוצאה מכך לזהות מספר צרכנים, כולל פקידי צבא, קציני אכיפת חוק ואחרים. אדם אחד שהעיתונאים הצליחו לזהות בשמו (ומי שאישר את זהותה) נמצא במעקב כשהשתתפה בתפילה בכנסייה".
ה-FTC טוען ששתי חברות וירג'יניה אספו יותר מ-17 מיליארד אותות מיקום יומיים מכמיליארד מכשירים ניידים. רחוק מלהיות אנונימי, הוועדה אמרה כי "ניתן להשתמש באותות אלה כדי לזהות צרכנים בודדים. על פי הדיווחים, Gravy Analytics השתמשה בטכנולוגיית גיאונסינג כדי לעקוב אחר משתמשים המבקרים במקומות הקשורים לפעילויות רגישות, כולל אירועים רפואיים ומנהגים דתיים".
ה-FTC הביע דאגה לגבי הנזק הפוטנציאלי לצרכנים הנובע משיטות אלו, כולל סיכונים לסטיגמה, אפליה ואלימות. מאפיינים רגישים הנגזרים מנתוני מיקום עלולים לחשוף את המשתמשים לצורות שונות של נזק, במיוחד כאשר הם משותפים ללא ידיעתם או הסכמתם, אמר ה-FTC.
על פי הצעת ההחלטה והצו של ה-FTC - שיש לה 30 יום של הערות ציבוריות - החברות עומדות בפני איסורים נוקשים על מכירה, העברה או חשיפה של נתוני מיקום רגישים, למעט מקרים הקשורים לביטחון לאומי או אכיפת חוק. שתי החברות יידרשו גם ליישם תוכנית לזיהוי ושמירה על מקומות רגישים, לרבות מתקנים רפואיים, מקומות תפילה, בתי ספר, מתקני כליאה ומקלטים לאוכלוסיות חלשות.
בנוסף, Gravy Analytics ו-Venntel יידרשו למחוק את כל נתוני המיקום ההיסטוריים וכל מוצר שנגזר מהנתונים האלה, אלא אם כן הם יכולים להבטיח שהמידע לא מזוהה או הופך ללא רגיש.
ההסדר גם יחייב את החברות ליידע לקוחות שקיבלו נתוני מיקום רגישים בשלוש השנים האחרונות על חובתם למחוק או לבטל זיהוי נתונים אלה. יתרה מזאת, החברות יצטרכו להקים תוכנית הערכת ספקים כדי לאמת את הסכמת הצרכן לאיסוף ושימוש בנתוני מיקום מדויקים, וייאסר עליהן להציג מצג שווא של נוהלי הנתונים שלהן, לרבות המידה שבה הן בודקות את הציות למסגרות הסכמה ומבטיחות את ביטול זיהוי של נתונים.
ה-FTC הצביע פה אחד 5-0 לפרסם את התלונה המנהלית ולאשר את הסכם ההסכמה המוצע. הנציבים בדויה, חאן, סלוטר, כריסטין ווילסון ואנדרו פרגוסון פרסמו הצהרות התומכות בפעולה, חלקן עם פרשנות נוספת.
צו ההסכמה המוצע יפורסם ברישום פדרלילהערות הציבור, מה שמאפשר לבעלי עניין 30 יום להגיש משוב לפני שה-FTC יקבע אם לסיים את ההסכם. אניתוח כדי לסייע להערות הציבורילווה אתרישום פדרליהוֹדָעָה.
נושאי מאמר
||||||