Zakladnice lokacijskih podatkov
Pametni telefoni vedo veliko o nas, tudi o naši lokaciji. Večkrat se obregnemo ob Google in Apple kot ponudnika ekosistema, češ da vesta vse o nas. Četudi to ni daleč od resnice, v njuni senci delujejo podjetja, katerih glavni poslovni model sta zbiranje in preprodaja lokacijskih informacij, ne da bi zanje sploh vedeli. Od njih jih kupujejo tako borzni analitiki kakor obveščevalne agencije.
47 podjetij za preprodajo lokacijskih podatkov, ki jih je identificiral The Markup.
Vaš pametni telefon večino časa zelo dobro ve, kje ste. Mehanizmov je več, in četudi izključite GPS, si bo telefon še vedno pomagal z znanimi omrežji Wi-Fi in podatki vidnih baznih postaj. Večinoma pa imamo zaradi prikladnosti vključen celoten paket in tako ga lahko lociramo na nekaj metrov natančno. Prednosti lokacijskih podatkov so nedvomno otipljive in celo Google nas ob izklopu funkcije pobara, ali smo resnično prepričani, saj da pogrešenega telefona ne bomo mogli več najti. Lociranje izgubljenega telefona, navigacija in vremenska napoved so resda praktične funkcije, a pravico do lokacijskih podatkov zahteva kup aplikacij, ki vsaj na prvi pogled tega privilegija ne potrebujejo. Razlogi so zelo finančni.
Čeprav ponavadi mislimo na Google in Apple, ko govorimo o zbiranju in obdelavi lokacijskih podatkov s telefonov, gre v resnici za živahen trg, ki ga obvladujejo podjetja, za katera povprečni uporabnik še ni slišal. Lani je bil trg vreden 12 milijard dolarjev, letos naj bi bil še 15 odstotkov več.
Tako podjetje je Near, ki se oglašuje kot ponudnik največje podatkovne zbirke o obnašanju ljudi v resničnem svetu, ki da vsebuje 1,6 milijarde posameznikov v 44 državah. MobileWalla se pohvali s podatki z 1,9 milijarde naprav v več kot 40 državah, vsak dan pa dobijo 50 milijard novih podatkovnih točk.
Pri tem še zdaleč niso edini. Ameriška neprofitna organizacija The Markup je v raziskavi septembra letos razkrila 47 podjetij, ki zbirajo, prodajajo in uporabljajo lokacijske podatke s pametnih telefonov, pa ji zelo verjetno ni uspelo najti vseh. Glavna prepreka pri proučevanju je nepreglednost, saj svojega početja ne razkrivajo, posamezniki in organizacije pa težko dobijo informacije, kako ta podjetja medsebojno poslujejo, kakšne podatke zbirajo in komu jih prodajajo. Zanašajo se na nezanimanje uporabnikov, ki s klikom odobrijo privilegije aplikacijam, in neaktivnost regulatorjev tako v ZDA kakor EU.
Večina teh podjetij poudarja, da je zasebnost na prvem mestu in da so podatki vedno anonimizirani ter agregirani tako, da iz njih ni mogoče izluščiti posameznika. Da so uvedli mehanizme, ki to otežujejo, drži, ni pa prepoznavanje posameznikov nemogoče. Raziskovalci so že pred leti večkrat pokazali, da potrebujemo le nekaj parametrov, pa lahko z veliko gotovostjo identificiramo posameznika. Temu pritrjujejo tudi anekdotični primeri.
Julija letos je v ZDA odstopil škof in generalni sekretar ameriške katoliške škofovske konference, ker so podatki pokazali, da je bil reden uporabnik gejevske aplikacije za spoznavanje ljudi Grindr in da je redno zahajal v gejevske bare. Podatke o njegovem obnašanju je objavila katoliška spletna stran The Pillar, a ni znano, kako so prišli do lokacijskih in drugih metapodatkov z njegovega telefona. Zapisali so bili le, da je mobilna naprava, korelirana z lokacijskimi podatki za škofovo napravo, kazala praktično vsakodnevno aktivnost Grindrja v letih 2018, 2019 in 2020 tako v njegovem domu kakor v pisarni in na službenih poteh. Podatke, ki obsegajo dve 26-tedenski obdobji, so pridobili od ponudnika lokacijskih podatkov in jih posredovali v neodvisno preveritev. Strokovnjaki so ob tem ponovno opozorili, da preprodaja tovrstnih podatkov v ZDA ni prepovedana. Čeprav pred posredovanjem podatkov odstranijo najočitnejša identifikacijska polja (starost, spol, ID naprave ipd.), je z malo truda pogosto mogoče deanonimizirati posameznika.
Medijsko manj izpostavljenih, a po obsegu še večjih zdrsov je še precej. Aplikacije za islamske molitve so imele še lani dele kode (gre za SDK) podjetja X-Mode, ki tudi sodi v skupino zbirateljev podatkov in njihovih prodajalcev, podatke pa prodaja orožarskim proizvajalcem in ameriškim obveščevalnim službam, je letos razkril Motherboard Vice. Šlo je za popularne aplikacije, ki so imele več kot milijonov uporabnikov. Muslim Pro je imel več kot 96 milijonov prenosov, Qibla Compass več kot pet milijonov in tako dalje. Analize so potrdile, da so aplikacije resnično posredovale lokacijske podatke X-Modu – vključitev njihove kode namreč še ne pomeni nujno, da se to res dogaja. Letos so aplikacije to prakso prekinile.
Če bi si mislili, da podatke prodajajo samo aplikacije zasebnih avtorjev, ki morajo nekako zaslužiti ali pa jih vodijo kakšni drugih motivi, bi se zmotili. Tudi aplikacija za navigacijo po newyorški podzemni železnici je vsebovala isto kodo X-Mode, o čemer so uporabnike obvestili celo v pogojih uporabe (ki jih seveda nihče ne bere). Odstranili so jih šele, ko je spletni medij TechCrunch o tem poročal in jih povprašal, čemu služi koda.
Android 11 vpraša, ali želimo pravico podeliti trajno ali ne.
Zbrani podatki ne ostajajo le v zasebnem sektorju, temveč vanje izredno rade pokukajo tudi razne agencije, službe in drugi državni organi. The Wall Street Journal je že lani poročal, da je ameriška administracija sklenila komercialne pogodbe za dostop do teh podatkov. Službi za domovinsko varnost (DHS), v okviru katere deluje oddelek za imigracijo in carine (ICE), je s temi podatki uspelo identificirati imigrante in jih aretirati. Preprosto so preverili, na katerih nenavadnih lokacijah – denimo sredi puščav ob mehiški meji – so aktivni telefoni. Tovrstna uporaba je povsem legalna, saj podatke kupijo na trgu enako kot katerikoli drug uporabnik. Čeprav je vrhovno sodišče leta 2018 v znamenitem primeru Carpenter proti ZDA razsodilo, da so lokacijski podatki varovani osebni podatki, se to nanaša le na pridobivanje neposredno od operaterjev, za kar so potrebne sodne odredbe. Prostovoljno nabrani podatki iz aplikacij, ki jih ponudniki prodajajo na trgu, niso del te razsodbe.
Kako deluje
Podjetja, ki se ukvarjajo z zbiranjem in s prodajo lokacijskih podatkov, so sorazmerno molčeča o taktikah, ki jih uporabljajo. Še manj razkrivajo o svojih strankah in uporabi podatkov. Večinoma poudarjajo, da gre za svobodno privolitev uporabnikov, o imenih aplikacij, od koder podatki izvirajo, ter o ponorih pa ne povedo dosti. Da gre za informiran pristanek, v podjetju Cuebiq utemeljujejo z dejstvom, da jim da dovoljenje za zbiranje podatkov manj kot 20 odstotkov uporabnikov aplikacij. Nekatera podjetja (denimo Advan Research) podatke uporabijo za lastne analize in prodajo rezultatov, druga (denimo Adsquare) lokacijske podatke spakirajo z ostalimi znanimi podatki in naprej prodajajo komplete. V Advan Research so tako povedali, podatke kupijo od agregatorjev, ki jih napaja več tisoč aplikacij, ne pa neposredno iz aplikacij samih. Edini, ki so konkretno navedli imena kakšnih aplikacij, so v Foursquaru, kjer pač uporabljajo lastne aplikacije: Swarm, CityGuide in Rewards. Tretja skupina podjetij pa nudi platforme, denimo Narrative, ki zgolj povezuje kupce in prodajalce podatkov.
Pot podatkov se običajno začne, ko aplikacija vpraša, ali ji dovolimo dostop do lokacijskih podatkov. Nekatere se zadovoljijo tudi z negativnim odgovorom, spet druge so tako vztrajne, da brez tega ne omogočajo normalne uporabe. Težko je ugotoviti, katere aplikacije te podatke uporabljajo za lastno delovanje, katere pa jih (tudi) prodajajo dalje.
Razen največjih ponudnikov se pisci aplikacij ne ukvarjajo z razvojem kode za zbiranje in posredovanje podatkov. Raje uporabijo standardizirane knjižnice (SDK), kakršen je Foursquarov Pilgrim SDK, ki jih vključijo v aplikacijo. Tega najdemo vsaj v 26 aplikacijah. Izmed omenjenih 47 podjetij, ki zbirajo lokacijske podatke, jih vsaj 12 nudi SDK za pisce aplikacij. Placer.ai, še eno podjetje, se v svoji ponudbi strankam hvali, da njihov SDK uporablja več kot 500 aplikacij na 20 milijonih naprav. Vključitev SDK sicer še ne pomeni, da bo posamezna aplikacija res pošiljala podatke razvijalca SDK, je pa to mnogokrat res.
Napačno je namreč prepričanje, da pisci aplikacij vanje vključijo SDK, da bi vohunili. Razlogi so drugačni in povsem legitimni. Aplikacije želijo monetizirati, zato s SDK dobijo možnost enostavnega prikazovanja oglasov, analitike in podobno. Odtekanje podatkov je pač ena izmed funkcij.
Ko podatki zapustijo mobilni telefon, njihov lastnik izgubi vsakršen nadzor nad njimi. Ponavadi se ne prodajo le enkrat, temveč se agregirajo, obdelujejo in prodajajo v več korakih. V podjetju Advan Research so pojasnili, da se podatki zbirajo iz več aplikacij, združijo in prodajo dalje. Te količine podatkov potem tretja podjetja analizirajo in spet prodajajo naprej. »Vsi prodajajo vsem,« je dejal njihov izvršni direktor. In katera so ta podjetja? Med vidnejšimi imeni najdemo Amazon, Foursquare, Oracle, za večino pa povprečni uporabnik še ni slišal.
Raznoliki so tudi kupci. Poleg že omenjenih državnih organov zanimanje kažejo tudi politične stranke. Te zanimajo lokacijski podatki ljudi, ki so bili na strankarskih zborovanjih, da jim lahko servirajo ciljane reklame.
Lokacijo bi danes rade vedele tudi aplikacije, ki je ne potrebujejo.
Investitorji lahko iz podatkov dobijo vpoglede, ki jih vodijo pri vlaganju. Ko je oktobra 2018 Tesla objavila spodbudne rezultate o trikratnem povečanju proizvodnje vozil Model 3, so delnice pridobile skoraj deset odstotkov. A v podjetju Thasos so to že pričakovali, saj so pogledali lokacijske podatke za neposredno okolico Teslinih tovarn in ugotovili, da so se nočne izmene povečale za 30 odstotkov. Očitno so imeli v Tesli veliko dela, kar so v Thasosu seveda sporočili svojim naročnikom.
Druga podjetja se za geografske podatke zanimajo, da bi ocenila smiselnost odpiranja novih poslovalnic ali premotrila kakšne druge poslovne odločitve. Burger King je leta 2018 uporabnikom aplikacije ponudil naročilo burgerja za en cent, če so bili manj kot 200 metrov oddaljeni od McDonaldsa.
Iz geografskih podatkov se da izluščiti veliko. Ko so obalo ZDA prizadeli orkani, se je prav z njimi videlo, iz katerih četrti so se ljudje evakuirali in od kod se niso. Korelacija s premoženjskim stanjem je bila strašljiva.
Kaj lahko storimo
Problem sta prepoznala tudi Apple in Google, ki sta v aplikacijah na svojih tržnicah prepovedala uporabo nekaterih SDK. Žal to ni pomagalo, saj so se aplikacije kljub uporabi prepovedanih SDK še vedno znašle na tržnici, da ne omenjamo tistih z dovoljenimi. V Googlu zagotavljajo, da se trudijo in odstranjujejo aplikacije, ki kršijo pogoje uporabe. Nove različice Androida so naredile korak naprej, saj omogočajo selektivno dodeljevanje in odstranjevanje pravic ter samodejni izbris pravic pri aplikacijah, ki jih dolgo nismo uporabili.
A celoten sistem je daleč od optimalnega. Nimamo metode, da bi preverili, zakaj aplikacija želi določene pravice. Tudi pri iskanju po aplikacijah na Play Storu ali App Storu ni mogoče filtriranje po pravicah, ki jih aplikacije zahtevajo. Nekatere aplikacije pa so prav nesramne in si pomagajo z obvozi. Znan je primer aplikacije, ki je zaprosila za pravico do dostopa do fotografij, potem pa je s fotografij izluščila geografske koordinate in jih posredovala dalje.
Android ponuja precej natančen vpogled v to, katere aplikacije beležijo lokacijo.
Tu se zastavi vprašanje, kaj je sploh prepovedano. V ZDA omejitev skorajda ni, čeprav v nekaterih zveznih državah obstaja možnost, da uporabniki prepovedo prodajo svojih podatkov. V EU nas varuje GDPR, ki zahteva jasno obvestilo uporabnikom, kako se bodo njihovi podatki zbirali in kam se bodo prenašali. Mogoče je tudi odstopiti od zbiranja podatkov (opt-out).
Težava je, da posamezni uporabniki verjetno ne bodo preganjali podjetij v tujini. Tudi organi imajo sorazmerno zvezane roke. V resnici je najhujša kazen izbris aplikacije s spletne tržnice, zato imata Google in Apple tako odločilno vlogo. Domači uporabniki pa lahko zgolj zelo selektivno podeljujemo pravico dostopa do lokacije in pazimo, katere aplikacije nameščamo. Ter ne pričakujemo zasebnosti, kadar imamo s seboj mobilni telefon.