Хиляди безплатни приложения, налични в магазина Google Play, потенциално нарушават основен федерален закон за неприкосновеност, предвиден да защитава децата от онлайн проследяване, съгласно ново проучване, публикувано от изследователи, свързани с Международния институт по компютърни науки (ICSI).
„Тези проблеми са широко разпространени и резултатът е, че децата стават изложени на целево рекламиране и автоматично профилиране, което би могло да бъде незаконно“– каза Сердж Егелман (Serge Egelman),който е съавтор на доклада и работи като директор на използваемите изследвания за сигурност и неприкосновеност вICSI,който е свързан с Университета на Калифорния Бъркли.
Проучването, озаглавено „‘Won’t Somebody Think of the Children?’ Examining COPPA Compliance at Scale,“(Няма ли някой да помисли? Изследване на съответствието на СОРРА в мащаб), бе публикувано онлайн тази седмица в научното списание Proceedings on Privacy Enhancing Technologies(Процедури относно технологии за усъвършенстване на неприкосновеността).
Откритията на изследователите подчертават надигащите се притеснения относно широкоразпространеното сред фирмите събиране и споделяне на чувствителна потребителска информация, често за рекламни цели. Проблемът е бил в заглавията на статиите тази седмица, тъй като Изпълнителният директор на Facebook Mark Zuckerberg бе разпитван от Конгреса относно проблеми с неприкосновеността на данните и над 20 групи за защита на потребителите внесоха федерално оплакване срещу YouTube за техните практики за събиране на данни и насочване към рекламите, включващи деца.
Но проучването подчертава също текущата неястно относно обхвата на Закона за защита на неприкосновеността на децата онлайн, Children’s Online Privacy Protection Act, общоизвестен катоCOPPA.
Широко разпространени проблеми
От този закон са се ръководилиEgelman и неговите колеги изследователи, при което са разработили нов автоматизиран процес за преглеждане на вътрешните разработки на 5855 популярни приложения наAndroid, които са се продавали за семейства и деца чрез американския магазинGoogle Play между ноември2016г. и март2018г. Техният фокус беше върху определянето дали приложенията са ангажирани с потенциални нарушения наCOPPA, който ограничава възможностите на фирмите да събирате и споделят чувствителна информация онлайн за деца под13години.
Изследователите открили:
· 5 процента от приложенията, включени в проучването, събирали данни за местоположението или за контакт с потребителите(като телефонен номер или имейл адрес), без първо да получат родителско съгласие.
· 1100 от приложенията(19% от изследваните) споделяли чувствителна информация с услуги на трети страни, чиито условия за ползване изрично забранявали използването им в детски приложения, вероятно понеже те са ангажирани с поведенческо рекламиране.
· 2281 apps (39% от изследваните) се оказаха в нарушение на условията за ползване наGoogleотносно споделянето на постоянни идентификатори (които предоставят уникална информация, която може да бъде свързана с дадено лице в течение на времето и в платформите, приложенията или устройствата.)
· 40% от приложенията в проучването споделяли лична информация на потребителите чрез internet, без да приложат целесъобразни мерки за сигурност.
· От1280 приложения, включени в проучването, които се интегрирали сFacebook, 92% не използвали коректно опциите за конфигуриране на компанията, за да защитят потребителите под13-годишна възраст.
Сред приложенията, набедени от изследователите за потенциални нарушения наCOPPA, бяха популярното приложение за учене на езициDuolingo и набор от игри“Fun Kid Racing“, създадени от компания на имеTinyLab. (Тук може да се намери пълен списък.)
Общо казано, около 57% от анализираните приложения, бяха потенциално нарушаващи закон, заключиха изследователите.
Числата не бяха преференциално по-добри за приложенията, които бяха сертифицирани като отговарящи наCOPPAчрез програма за саморегулация на индустрията, известна като „Безопасно пристанище“, казаха изследователите.
С болка те отбелязаха, че все пак, изследването им не претендира за дефинитивна правна отговорност за създателите на тези приложения.
В допълнение, един експерт по COPPA, консултиран от Education Week, запита дали законът действително се прилога към много от мобилните приложения, включени в проучването.
Говорител на Google не отговори незабавно на искането за коментар.
„Това е важно проучване, понеже то хвърля светлина върху невидимото фоново събиране на информация за потребителите, за което много хора в образованието не са осведомени“, каза Douglas A. Levin отEdTech Strategies, консултантска група, която разгледа отблизо проблема с рекламното проследяване на уебсайтове в училищна област и щатско образование.
„Би се получила гаранция, че Федералната търговска комисия ще преследва тези находки и ще направи ясно изявление за законността на този вид проследяване“, каза Levin
Повишено внимание относно COPPA
С разгорещяването на притесненията по неприкосновеност на данните в образованието от горния курс, Законът за защита на неприкосновеността на децата онлайн привлече все по-голямо внимание.
Законът регламентира операторите-трети страни на уебсайтове, мобилни приложения и дигитални услуги, които събират информация от онлайн потребителите, които са под 13-годишни. Казано накратко, законът изисква от тези оператори да уведомяват родителите и да получават съгласието им, преди да събират информация за децата; да позволяват на родителите да прегледат информацията за децата им и да изискат тя да бъде изтрита и да позволят на родителите да се откажат от по-нататъшно събиране на данни.
В едър план целта е да се даде на родителите по-голям контрол върху това каква информация се събира от децата им онлайн.
Но има много сиви области под закона, както Education Week изследва задълбочено миналото лято.
Amelia Vance, директорът по неприкосновеност на образованието при Форума за бъдещето на неприкосновеността – вашингтонски мозъчен тръст – каза, че много от компаниите, включени в анализа на ICSI, може да не са легално обект наCOPPA,който се прилага само за онлайн услугите, които са или „директно насочени“ към деца под 13-годишна възраст, или имат „действително знание“ за потребители, които са под 13-годишна възраст.
„Федералната комисия по търговията (FTC) интерпретира[тези условия] справедливо строго,“ каза Vance. „Голямото мнозинство от компании не достигат този стандарт.“
FTC в миналото наложи глоби и санкции на няколко компании за неправомерно събиране на лична информация от деца.
Но процесът за ръчно търсене на нарушения на COPPA е прринципно „много болезнен“, написаха изследователите наICSI в новото си проучване.
Ето защо новите автоматизирани техники, приложени от изследователите, са толкова значими, казаEgelman.
По същество, изследователите са извлекли приложения от магазинаGoogle Play и ги инсталирали на телефони, работещи с операционната система Android на Google, която изследователите са персонализирали със собствените си автоматизирани инструменти за наблюдение. С помощта на симулирани потребителски данни изследователите наблюдавали как функционират приложенията, събирайки и съхранявайки подробни данни за това до каква чувствителна потребителска информация са имали достъп приложенията и каква информация са прехвърлили на трети страни.
Този процес позволи на изследователите да „наблюдават действителното поведение на програмата в реално време и в едър план,“ чрез изследване“колко често и при какви обстоятелства приложенията и библиотеките на трети страни имат достъп до чувствителни ресурси,“ съгласно проучването.
Всеки един, включителноFTC, може да използва техниките, казаEgelman.
„Всички наши данни са публично достъпни,“ каза той. „Всичко се свежда до ресурси и инициативи за действие.“
‘Всъщност никой не го е грижа“
Всъщност, Egelman описа липса на воля между всички страни като първостепенната бариера пред по-добрите защити за неприкосновеността на децата онлайн.
Разработчиците на мобилни данни изглеждат доста разводнени, когато определят дали услугите на трети страни защитават информацията на децата, каза той. На свой ред, тези трети страни не изглежда да проверяват дали получават информацията на децата от приложенията, с които се интегрират. И Egelman каза, че големите компании, катоGoogle иFacebook, често не предприемат дори и най-основните стъпки да се опитат да ограничат събирането от други и споделянето на детската информация по техните платформи.
В крайна сметка, той каза“причината, поради която всъщност никой не го е грижа, е понеже няма прилагане на закон.“
Но ето тук нещата могат да станат измамни.
Вземете напримерDuolingo. Популярното приложение за изучаване на езици претендира за200 милиона потребители и се продава на училища, но не пита потребителите наAndroid за възрастта им и казва, че не е насочено към деца под 13-годишна възраст.
Egelman и екипът му казва, че то е било измежду 1100 приложения, които изпращат неправомерни постоянни идентификатори(в случая сDuolingo, серийният номер на мобилния телефон, на който се използва приложението) до трета страна, което специфично забранява на разработчиците да използват тяхната рекламираща услуга в приложения за деца.
„Макар че не можем със сигурност да знаем дали тези трети страни използват информацията за забранени отCOPPAпрактики или не, като например поведенческо рекламиране, техните условия за ползване и политики за неприкосновеност предполагат, че нарушенията са вероятни“ – се казва в проучването.
Но в едно изпратено по имейла изявление един говорител каза“Duolingo е онлайн услуга, насочена към общата аудитория“—показвайки, че компанията не вярва тя да е обект на COPPA, дори това да е очевидно избрано в раздела Предназначено за семейства на магазина Google Play.
Говорителят отбеляза също, че услугата на трета страна, с която той споделя информация, е да оправя бъгове и да предоставя данни за сривове, не за реклами.
Подобно объркване затруднява определянето на естестовото и обхвата на правната експозиция за приложенията, включени в проучването ICSI, казаVance от Форума за бъдещето на неприкосновеността.
Но от практическа гледна точка, казаLevin отEdTech Strategies, изследователите са подчертали просто колко значимо е предизвикателството за неприкосновеността на децата онлайн в мобилната епоха.
„Ние знаем, че малките деца все повече разчитат на мобилни приложения—дори услуги, които може да не са били изрично проектирани за тях—за обучение,“ каза Levin.
„Когато децата им използват тези приложения, родителите трябва да имат разумно очакване за неприкосновеност.“
Вижте също:
· COPPA and Schools: The (Other) Federal Student-Data-Privacy Law, Explained(СОРРА и училищата: (Другият) федерален закон за неприкосновеност на данните на учащите се, обяснение)
· YouTube Accused of Targeting Children With Ads, Violating Federal Data-Privacy Law(YouTubeобвинен в насочване към деца с реклами, нарушаващи федерален закон за неприкосновеност на данните)
· U.S. Agencies Grapple With Student-Data-Privacy Guidance for Schools(Американски агенции се борят с насоките за неприкосновеност на данните на учащите за училищата)
· Coalition Calls for Modernizing COPPA(Коалиционни призиви за модернизиране на СОРРА)
Последвайте@BenjaminBHerold за най-новите новини относно политиките, практиките и тенденциите в образователните технологии.
