Facebook 的医院数据泄漏、Telegram、Mozilla 的 Cookie 罐和很有趣的应用程序。AdGuard 消息摘要
这次 AdGuard 消息摘要包括,Facebook 被指控囤积敏感的医疗数据;Telegram 与谷歌合作,也可能与警方合作;Mozilla 与跟踪器作斗争;学校应用程序监视儿童;Twitter 滥用用户数据;美国即将通过联邦隐私法。
Facebook 工具侵入医院网站的患者数据
我们先从比较没那么令人惊讶的消息开始, Facebook 广告跟踪工具将医院网站敏感患者数据传送给… 没错,Facebook 自己。The Markup 一项调查发现,Meta Pixel 跟踪工具(也是指 Facebook Pixel )嵌入几十个顶尖美国医院网站,包括主要一连串的儿童医院网络。一旦患者或家长按「预定」按钮,Meta Pixel 就会给 Facebook 发送患者姓名、主治医生姓名、患者选择医生时使用的关键词,以及其他个人数据。Facebook 甚至获取 孩子全名和 ID 地址。在所谓安全的病人门户网站上也发现了跟踪器。这意味着 Facebook 可以发现患者服用的药物和潜在的过敏反应。
Facebook 的母公司 Meta 拒绝承认自己把“触手”伸到患者数据中,说他们具有特定的过滤器用于避免这种情况发生。有几个医院即将移除其网站的过滤代码,并且在加利福尼亚州提起集体诉讼,指控 Facebook 违反了医疗隐私法。原告说,他们在至少 664 家医院和医疗机构的网站上发现了该追踪器。
看起来,Facebook 对资料撷取的胃口无边无际。科技巨头愿意以各种方式窃取用户个人数据。很难相信 Facebook 说自己没有窃取患者数据的辩解,因为以前该公司已经被当场抓到侵犯用户个人隐私太多次了 。
Telegram 与谷歌,也可能与警察分享数据
据《Spiegel》杂志报道,信使 Telegram 已经将涉嫌恋童癖和恐怖主义的用户数据交给了德国警方。据称,Telegram 还同意创建一个特殊的电子邮件账户,警方可以向该账户发送封锁内容的请求。去年有报道称,如果 Telegram 不与德国执法机构建立沟通渠道,将面临 5500 万欧元的罚款。Telegram 尚未对媒体关于其与警方合作的报道发表评论。如果是这样,那就意味着 Telegram 推翻了其不与第三方分享数据的长期政策。
Telegram 尚未发表关于其涉嫌协助德国警方的评论。如果属实,这表明即使是拥有严格数据共享政策的公司也不能幸免于压力,尤其是在以保护无辜儿童的名义施加压力的情况下。欧盟一直在兜售旨在扫描消息以寻找儿童性虐待指标的措施。我们在上次消息摘要里提到这些措施。可悲的是,保护儿童似乎正在成为强迫线上平台披露用户个人数据的工具。
Telegram 在其官网上表示,它未曾向第三方披露一个字节的数据,无论是政府还是任何其他人。
虽然 Telegram 与警方的合作既没有得到确认也没有被否认,但作为其高级计划的一部分,Telegram 公开宣布它将与谷歌共享数据。 Telegram 的新高级功能依赖于谷歌技术来转录音频信息。根据 Telegram 和 Google 之间的协议,谷歌被禁止记录转录和音频数据,并且不能将数据用于任何其他目的,包括广告。然而,Telegram 将其用户数据委托给谷歌这一事实本身就令人担忧。
Mozilla 正在使用 Cookie 来攻击追踪器
Mozilla 决定通过将第三方 Cookie 放入所谓的 “Cookie 罐”(英语,“Cookie jars”)中来清理互联网这个大橱柜。 仅有传送 Cookie 的站点可见,其他人都不知道它们的存在。新机制默认对 Firefox 浏览器的桌面用户有效,但在移动版本中尚不可用。第三方 Cookie 是广告商在用户的浏览器上留下的小文本文件,用于跟踪用户在网站之间的移动。通过限制跟踪器对彼此 Cookie 的访问,Mozilla 希望使用户免受持续的监视:
- Mozilla 声称:“没有其他网站可以进入不属于他们的 Cookie 罐,并找出其他网站的 Cookie 了解您的哪些信息,让您免受侵入性广告的影响,并减少公司收集的关于您的个人信息”。
与其他一些科技公司不同(我们不会指责它们),在谈论隐私问题时 Mozilla 言行一致。值得注意的是,Mozilla 最近宣布,在 Manifest 3 实施后,它将继续授予拦截程序访问 Web 请求的权限,从而使它们能够满负荷运行。我们在本文章详细介绍了这一点。
远程学习应用程序将学生数据泄露给广告商
根据人权观察组织的一项调查。在疫情期间部署在 49 个国家进行远程学习的教育技术解决方案中,近 90% 对课堂内外的儿童进行监测。其中许多平台允许广告商访问学生的个人数据。
“人权观察发现了, 146 种 EdTech 产品直接向 196 家第三方公司发送或授予访问儿童个人数据的权限,其中绝大多数是 AdTech”。数据主要是发送给 AdTech 巨头,即谷歌和 Facebook。此外,有八个网站使用了一种通过 Canvas 的复杂跟踪方法。本方法并不需要接收 Cookie。
孩子们和家长大多对应用程序的数据收集习惯一无所知。在大多数情况下,孩子面临着一个不可能的选择:继续学习,或退出学习以停止被监视。
我们在 AdGuard 认为,儿童和成人的隐私都应默认受到保护。孩子不应该为了教育而牺牲隐私,反之亦然。通过定向广告针对年仅 9 岁的儿童的做法无异于掠夺。
然而,这个消息本身并不令人震惊,因为数据收集方法变得越来越隐秘和侵入性......
复制粘贴很糟糕,但这与你的想法无关
…正如 11 个下载量超过 4500 万次的安卓应用程序所证明的那样,这些应用程序通过名为 Coelib 的第三方 SDK 秘密发送用户 GPS 数据、电子邮件地址、电话号码。 AppCencus 今年早些时候曾报道 有问题的软件开发工具包 (英语,SDK) 是其中的一部分几个以古兰经为主题的应用程序、条形码扫描仪和 WiFi 鼠标等。其中一款应用程序 Simple Weather & Clock Widget 将用户复制和粘贴的所有内容上传到 SDK 供应商的服务器。谷歌去年从其 Play 商店中删除了这些应用程序,自那以后它们都返回了,除了出错的 SDK。
我们强烈建议用户们仅安装来自受信任的开发者的应用程序,并仅授予他们最必要的权限。
在印度,电信运营商可能需要披露来电者的姓名
印度电信监管机构正在开发一种新机制,要求提供商在每次电话响起时在屏幕上显示来电者的全名。提供商必须从其 KYC(英语是 “Know your customer”,中文是“了解你的客户”)记录中获取呼叫者数据。当客户购买 SIM 卡时,运营商会验证他们的身份并将信息输入数据库。
印度政府希望控制触动越来越多印度人神经的诈骗电话问题。三分之二的印度人每天收到三个或更多垃圾电话和超过 2.2 亿次使用来电者识别应用 Truecaller。Truecaller 软件众包用者数据,这意味着它可能不是最新的。虽然 KYC 记录是更准确的数据来源,但主要问题仍然存在——在任何一种情况下都不需要用户同意。
该提案的细节尚未敲定,但看起来印度政府正在以牺牲公民隐私为代价追捕讨厌的诈骗电话。该政策的有效性是值得怀疑的:不清楚屏幕上显示的陌生号码和陌生姓名有什么区别。新举措有可能对该国本已薄弱的隐私保护带来又一次打击。今年早些时候,我们撰写了一篇新的在印度实施的措施,该法律将强制所有 VPN 和其他在线服务提供商将用户日志存储至少五年。
Twitter:我们仅出于安全目的收集您的数据。*只是开个玩笑
Twitter 已支付 1.5 亿美元与美国政府达成和解。美国政府指控这家科技巨头误导其用户对其个人数据的处理方式。从 2013 年到 2019 年,Twitter 声称它只需要用户的电话号码和电子邮件地址来保护他们的帐户。但是,美国司法部表示 社交巨头随后与广告商共享该数据。1.4亿用户受到了这种做法的影响,这很可能帮助增加了 Twitter 的金库,因为其主要收入来源是广告收入。
Twitter 承认,这些数据“可能已在无意中”用于广告。
关于 Twitter 的消息并没有让 Elon Musk,公司的潜在买家高兴。这位亿万富翁写道:“如果 Twitter 对此不真实,那还有什么?”此前,马斯克暂停了收购 Twitter 的交易,指责这家科技巨头不愿披露垃圾邮件机器人的份额。
Twitter最近的公开声明表明,该公司可能开始关心用户隐私。几周前,Twitter 澄清了其隐私政策,甚至发布了一款游戏来帮助用户理解它。然而,和解协议的宣布让我们回到了一个严酷的现实——大型科技公司可以伪装成隐私倡导者,但只要广告仍然是他们的主要收入来源,一切隐私保护政策都只是镜花水月。
美国越来越接近通过联邦数据保护法
经过多年的打磨,一个由民主党和共和党立法者组成的两党小组公布了一份联邦数据隐私法案草案,中文是,“美国数据隐私和保护法案”,简称:ADPPA 。该草案现在正在进行辩论。该法案旨在优先于州隐私法,但对伊利诺伊州生物识别信息隐私法,加利福尼亚隐私权法的一部分列出了一长串值得注意的豁免,以及面部识别和消费者保护法。该法案将要求科技公司在收集或处理敏感的个人数据之前获得个人的明确同意,例如生物特征数据、私人通信、精确地理定位、财务和健康数据、登录信用、浏览历史和性取向。这些公司还将被要求发布隐私政策,而个人将有权选择不将其数据传输给第三方以进行定向广告。广告商将无法投放针对 17 岁以下的未成年人的广告。
用户还可以在联邦法院起诉公司要求赔偿,但要在法案生效 4 年后。
该法案在美国得到了立法者和数据保护专家的褒贬不一的评价,一些人称其为积极的举措,另一些人则指出,该法案为不道德的公司留下了许多漏洞。如果国会通过该法律,理论上美国将更接近欧洲保护隐私的标准:欧盟的《通用数据保护条例》 (简称:GDPR)。然而,魔鬼总是在细节中。