Esettanulmány: FTC v. Snapchat (nem) eltűnő üzenetek

Polaroid Snap / Miwok

Kulcsfontosságú pont:

Az FTC nemcsak a szervezeteknek a magánélettel és az adatbiztonsággal kapcsolatos konkrét reprezentációit vizsgálja, hanem azok viselkedését is, és ha ellentmondások vannak, a szervezeteket elszámoltathatóvá teszi (ideértve azokat az eseteket is, amikor a vállalatok azt mondják, hogy csak bizonyos formájú információkat gyűjtenek, ha valójában sokkal többet gyűjt.

Háttér

A Snapchat egy népszerű multimédiás üzenetküldő alkalmazás, amelyet milliók világszerte használnak. A Snapchat lehetővé teszi az egyéneknek, hogy fényképeket és videókat küldjenek és fogadhassanak - úgynevezett „pattanások”.

Az egyik legfontosabb jellemző, amelyet a Snapchat hirdet, az volt, hogy a képek és üzenetek csak rövid ideig álltak rendelkezésre, mielőtt hozzáférhetetlenek voltak a címzettek számára.

FTC állítások

2014-ben az FTC a Snapchat-ot vizsgálta azon állítások alapján, amelyek szerint a Snapchat megtévesztette a fogyasztókat azzal a ígérettel, hogy a szolgáltatáson keresztül küldött üzenetek eltűnnek. Pontosabban, az FTC azt állította, hogy a Snapchat:

  • tájékoztatta a felhasználókat, hogy a feladó kijelölhet egy olyan időszakot, amelyen belül a címzett megnézheti a pillanatfelvételt;
  • az alkalmazást „rövid távú üzenetküldő alkalmazásként” forgalmazta, ami azt jelentette, hogy a pillanat a megadott idő elteltével eltűnik;
  • azt mondta, hogy ez lehetővé teszi a feladóknak, hogy ellenőrizzék, mennyi ideig láthatják barátai az üzenetet. beleértve a következőket a GYIK-ből: „Van-e lehetőség egy kép megtekintésére az idő lejárta után? Nem, a pattanások eltűnnek az időzítő letelte után. ...”

Az FTC állítása szerint ezen állítások ellenére számos módszer létezett, amelyek lehetővé tették a címzetteknek az alkalmazáson kívüli eszközök használatát a fénykép- és a videoüzenetek mentésére, valamint a határozatlan időre történő elérésükhöz és megtekintésükhöz. Ez magában foglalta azt a állítólagos hibát is, hogy amikor egy címzett videojelet kapott, az alkalmazás a videofájlt az alkalmazás „homokdobozán” kívüli helyre tárolta, amely lehetővé tette a videofájlok mentését. Ezenkívül az FTC azt állította, hogy vannak olyan harmadik féltől származó szoftveralkalmazások, amelyek lehetővé tették a videók és képek határozatlan ideig történő tárolását is. Az FTC azt is állította, hogy a felhasználók képernyőképeket készíthetnek oly módon, hogy az FTC úgy érezte, hogy nem egyeztethetők össze a Snapchat által tett észrevételekkel.

Ezenkívül 2011. június és 2013. február között a Snapchat adatvédelmi közleménye a következő nyilatkozatot tartalmazta: „A Snapchat alkalmazás használata közben semmilyen időpontban nem kérünk, nyomon követhetünk és nem férhetünk hozzá az eszközön található helyspecifikus információkhoz.” Ennek ellenére, 2012 októberétől 2013 februárjáig a Snapchat alkalmazás az Androidon továbbította a WiFi-alapú és cellás alapú helymeghatározási információkat a felhasználók mobilkészülékeitől az elemzőkövetési szolgáltatóhoz.

Végül az FTC azt állította, hogy a Snapchat megtévesztette a fogyasztókat az összegyűjtött személyes adatok mennyisége és az ezen adatokkal való visszaélések és jogosulatlan közzététel elleni védelem érdekében tett biztonsági intézkedések miatt.

  • FTC állítólag. A Snapchat „Friends Friends felhasználói felülete” megtévesztő volt, és hogy a Snapchat megtévesztő kijelentéseket tett adatvédelmi politikájukban a Friends Find felhasználói felületen összegyűjtött információk jellegére és terjedelmére vonatkozóan. Ami az interfészt illeti, annak megjelenése ellenére, amely kifejezetten a telefonszámokra és az állításokra összpontosított, hogy az egyetlen személyes információ, amelyet a Snapchat összegyűjtött, amikor a felhasználó úgy döntött, hogy megkeresi a barátokat, a felhasználó által megadott mobilszám, amikor a felhasználó a „Find Friends”, a Snapchat összegyűjtött információkat választotta. a felhasználó mobil eszközének címjegyzékében szereplő összes név és telefonszám a felhasználó tájékoztatása nélkül.
  • Az FTC azt állította, hogy a Snapchat nem megfelelő módon biztosította az információk megtalálását a Barátok keresése szolgáltatásban, mivel többek között nem volt ellenőrzés arról, hogy egy adott telefonszámot tulajdonító személy valóban a telefonszám-tulajdonos-e. Ennek számos következménye volt, ideértve egyes esetekben a PII téves közzétételét. Például a fogyasztók panaszkodtak, hogy pillanatfelvételt küldtek a számlákra abban a hitben, hogy valamelyik barátjával kommunikálnak, amikor valójában nem, és ennek eredményeként a személyes információkat tartalmazó fényképek véletlenül kerültek nyilvánosságra. Ezenkívül a fogyasztók panaszkodtak, hogy a telefonszámukhoz kapcsolódó fiókokkal nem megfelelő vagy sértő pillanatot küldtek. Az FTC úgy vélte, hogy a Snapchat egyszerű lépéseket tehetett volna, beleértve az SMS-ellenőrzést, amely megakadályozhatta ezeket a kérdéseket.
  • Az FTC azt is állította, hogy az API más biztonsági hibái azt eredményezték, hogy a hackerek több mint 4 000 000 ember vonatkozásában személyi adatvédelmi információt szereztek.
  • Az FTC végül azt állította, hogy a Snapchat számos nyilatkozatot tett az adatbiztonsággal kapcsolatban, amelyek összesen azt állították, hogy a Snapchat ésszerű lépéseket fog tenni az információbiztonsággal kapcsolatban, és ezek az állítólagos kérdések bizonyították, hogy a Snapchat valójában nem tett ésszerű lépéseket.

Település

A megállapodás tiltja a Snapchaltól, hogy félrevezetje a felhasználó adatainak magánéletét, biztonságát vagy titkosságát, és átfogó adatvédelmi programot igényel. Az átfogó adatvédelmi programnak tartalmaznia kell a Snapchat méretének és összetettségének, a Snapchat tevékenységeinek jellegét és terjedelmét, valamint a „lefedett információk” érzékenységének megfelelő adatvédelmi ellenőrzéseket és eljárásokat. Pontosabban, a település. szükséges Snapchat a következőhöz:

  • kijelöl egy alkalmazottat vagy alkalmazottakat az adatvédelmi program koordinálására és elszámoltathatóságára;
  • azonosítja azokat a lényeges belső és külső kockázatokat, amelyek a Snapchat által a lefedett információk jogosulatlan gyűjtését, felhasználását vagy nyilvánosságra hozatalát eredményezheti, és megvizsgálja, hogy a rendelkezésre álló biztosítékok elegendőek-e e kockázatok ellenőrzéséhez;
  • a magánélet védelmére vonatkozó kockázatértékelés során azonosított kockázatok kezelésére tervezzen és hajtson végre ésszerű adatvédelmi ellenőrzéseket és eljárásokat, és rendszeresen tesztelje vagy ellenőrizze az adatvédelmi ellenőrzések és eljárások hatékonyságát;
  • ésszerű lépések kidolgozása és felhasználása az olyan szolgáltatók kiválasztására és megtartására, amelyek képesek fenntartani a biztonsági gyakorlatokat a megrendelésnek megfelelően, és szerződéses szolgáltatóktól megköveteli a megfelelő biztosítékok végrehajtását és fenntartását; és
  • értékelje és kiigazítsa adatvédelmi programját a tesztelés és figyelemmel kísérés eredményei, a működésben vagy az üzleti megállapodásban bekövetkezett bármilyen lényeges változás, vagy bármilyen más olyan körülmény alapján, amelyről a Snapchat tudomást vagy okkal rendelkezik, és amely jelentős hatással lehet adatvédelmi programjára.

„Fedezett információk” a település alatt. tág értelemben meghatározva azt jelenti, hogy „egyéni fogyasztótól vagy arról szóló információt tartalmaz, ideértve, de nem korlátozva az alábbiakat: b) otthoni vagy egyéb fizikai cím, beleértve az utcanevet és a város vagy város nevét; c) e-mail cím vagy egyéb online kapcsolattartási információ, például az azonnali üzenetküldő felhasználó azonosítója vagy képernyőnév; d) telefonszám; e) állandó azonosító, például egy „sütiben” tárolt ügyfélszám, statikus Internet Protocol (IP) cím, mobil eszköz azonosítója vagy processzor sorozatszáma; f) pontos egyéni vagy mobil eszköz földrajzi helyzetére vonatkozó adatok, ideértve a GPS-alapú, WiFi-alapú vagy cellás alapú helymeghatározási információkat; g) hitelesítési hitelesítő adatok, például felhasználónév vagy jelszó, vagy h) bármilyen kommunikáció vagy tartalom, amelyet a válaszadó termékein vagy szolgáltatásán keresztül továbbítanak vagy tárolnak. ” A Snapchat adatvédelmi programjának ésszerűnek kell lennie, és legalább az összes ilyen adat elemre ki kell terjednie.

Ezenkívül a Snapchattól arra kötelezték, hogy a programot harmadik fél értékelõje kövesse nyomon a következõ 20 évben.

Erőforrások

FTC-fájlok a Snapchat esetében (fájlszám: 132 3078)

„Snap to - Az FTC legújabb végrehajtási ügye a Snapchat ellen, és mit jelent ez a vállalkozása számára”, írta Andrew Serwin az IAPP-hez