Visszaélhetnek az appok a gyerekek adataival, a szülők tehetetlenek
Több ezer androidos alkalmazás elérhető a Google Play Store-ban, amely törvénysértő módon követheti nyomon a 13 év alatti gyerekek online tevékenységét, derült ki egy tanulmányból, amelyet a Kaliforniai, a Calgary-i, a British Columbia-i és a Stony Brook Egyetem kutatói és szoftvermérnökök készítettek.
A vizsgálat során közel 6 ezer olyan appot vizsgáltak, amelyeket kifejezetten családok számára terveztek, a Google Play Store-ban is ebben a kategóriában elérhetőek.
28 százalékuknak érzékeny, engedélykéréshez kötött adatokhoz van hozzáférése, 73 százalékuk pedig továbbítja is az érzékeny adatokat az online térben. Bár az információk begyűjtése önmagában nem feltétlenül sérti a 13 év alattiak adatainak gyűjtését korlátozó ún. COPPA (Children’s Online Privacy Protection Act) törvényt, egyik alkalmazás sem kér szülői beleegyezést, ahogy a jogszabály előírja.
A vizsgált appok közül több mint 200 geolokációs adatokat is gyűjt a gyerekekről. 107 a készülék tulajdonosának emailcímét továbbítja, 10 pedig a telefonszámot.
A gyerekek számára fejlesztett alkalmazások közül 1100 osztja meg harmadik féllel a felhasználó állandó azonosítóját, amelyet viselkedés alapú hirdetési technikákhoz használhatnak fel (ezt szintén tiltja a COPPA). 2281 engedély nélkül továbbítja az Android hirdetési azonosítót, amelyet a Google előírása szerint a fejlesztők a hirdetések utánkövetésének egyetlen állandó formájaként használnak - ez a gyakorlat így a Google szabályzatának is ellentmond.
Összességében az 5855 app közül 57 százalék az, amely törvénysértő módon működik. A Play Store-ba naponta több mint 2700 új applikáció kerül fel. Szakemberek segítségével jártuk körbe, hogyan fordulhat elő ilyesmi, hogyan kerülhető el, és hogy miért különösen problematikus, hogy a visszaélés érintettjei ezúttal gyerekek.
Technikai háttér
A mobilapplikációk között adatkezelés szempontjából jó néhány különbség van az Androidra és az iOS-re tervezettek esetében, hívja fel a figyelmet Lovastyik Ádám szoftvermérnök. Az iOS platformnak, magának az operációs rendszernek a sajátossága, hogy meglehetősen korlátozott területekhez engedi hozzáférni az appokat, androidon ez nem egészen így működik.
Legjobb példa, hogy Androidon adhatunk engedélyt egy appnak arra, hogy hozzáférjen a híváslistánkhoz, míg iOS-en ez egyáltalán nem is lehetséges, a platform még a saját telefonszám kiolvasására sem ad lehetőséget.
Ami a fejlesztést illeti, eltérő gyakorlatok léteznek, de alapvetően két helyzet állhat fenn: az egyik, amikor egy cég vagy magánszemély saját tulajdonú appot/szolgáltatást fejleszt saját maga vagy saját alkalmazottakkal, illetve amikor egy szoftvercég más megbízásából készít el egy szoftvert, ami a megbízó tulajdona lesz. Előbbi esetben a fejlesztő maga felel az adatkezelésért, utóbbi esetben pedig a megrendelő, aki kérheti a szerződésben, hogy a fejlesztő tájékoztassa az adatkezeléssel kapcsolatos teendőiről - de alapvetően ez nem kötelezettség, fejti ki a szakember.
A gyakorlat az, hogy az appok funkcióját, feladatait, céljait egy termékfejlesztő-markertinges csapat találja ki és határozza meg, akik vagy konzultálnak jogásszal az adatkezelési kérdéseket illetően, vagy nem.
Az androidos appok kétféle jogosultság-kérési rendszerrel rendelkeznek: az egyik a telepítéshez szükséges, és annak során kérdez rá (például push notification küldés), és vannak úgynevezett runtime jogosultságok - ilyen például a helymeghatározás, a tárolóhelyekhez való hozzáférés (sd-kártya), a fotókhoz való hozzáférés. iOS esetén csak runtime jogosultság létezik. A runtime jogosultság-kérés futásidőben explicit módon történik, jellemzően egy dialógusban, amiben az app elmondja, mihez kér jogosultságot (például híváslistához) és miért, a felhasználó pedig ezt vagy elfogadja vagy megtagadja (ez esetben értelemszerűen nem fér hozza az app). Elfogadás után a beállításokban az egyes jogosultságokat a felhasználó vissza is tudja vonni.
Kié a felelősség?
Visszaélés esetén helyzetfüggő, hogy a fejlesztő vagy a megbízó, esetleg a platformtulajdonos tehető felelőssé. Többek között a polgári jogi kártérítési rendszer vagy a májustól életbe lépő GDPR szabályozás is elég kemény elvárásokat telepít a résztvevőkre, de ennek jogi gyakorlata még nagyon gyerekcipőben jár - tudtuk meg Somkutas Péter jogásztól. "A platformtulajdonsoktól az esetek nagy részében gyorsabb és hatékonyabb eljárást tapasztalunk, mint amire a jog képes. Természetesen ultima ratióként ott áll és ott kell állnia a jogrendszernek ennek biztosítására, de a saját policyjukat tűzzel-vassal betartó platformok nagyon hatékonyan képesek fellépni az ilyen esetek ellen", mondja Somkutas.
Az iOS és az Android szoftverboltjainak ellenőrei már az alkalmazások beküldésekor olyan teszteket futtatnak le – vagy jobb esetben nézik át -, amelyek az ilyen visszaéléseket preventív módon zárják ki.
Ha egy alkalmazás átjut ezeken a szűrőkön és telepítés során a felhasználó még a kért engedélyeket is megadja neki, akkor az alkalmazás lényegében szabadon kezdhet bele az adatgyűjtésbe.
Mennyiben súlyosbítja a helyzetet, hogy itt és most gyerekekről van szó?
Az Egyesült Államok ebben a fajta szabályozásban, gyakorlati szempontból legalábbis, az Unió előtt jár. A COPPA fókuszáltan a gyerekek érdekeit nézi, míg az uniós GDPR szélesebb kört ölel fel, bár hozzájáruláson alapuló adatkezeléshez a 8. cikkben főszabályként elvárja a 16. betöltött életévet (ettől legfeljebb 13. életévig a tagállamok eltérhetnek). A jogász szerint
általánosságban elmondható, hogy a polgári és a büntető jog illetve a bírói gyakorlat általában súlyosbító körülményként értékeli a kiskorúak sérelmére elkövetett (bűn)cselekményeket, de jelenleg nincsen olyan uniós szabályozás, amely kifejezetten erre adna iránymutatást az alkalmazásokkal és azok adatkezelésével, különösen ennek következményeivel kapcsolatban.
Sérülékenyebbek a gyerekek, nehezebben jelzik, ha gond van, és gyakran úgy kapnak internetképes eszközhöz hozzáférést, hogy közben nem készítik fel őket arra, hogy hogyan lehetnek biztonságban az online térben - jelenti ki Gyurkó Szilvia gyermekjogász, a Hintalovon Alapítvány vezetője.
"Fel kellene készíteni őket a nethasználatra, de ez jelenleg se az óvodai, se az iskolai foglalkozásoknak nem része olyan minőségben, ami szükséges lenne, és ami igazodna az internet folyamatosan változó világához és kihívásaihoz."
A szülők le vannak maradva, és az ezt érzik is, de az ebből adódó frusztrációjukat azzal oldják, hogy hárítják a problémát ("nem értek a nethez"), vagy tiltani próbálják a használatot (ami eleve kudarcra van ítélve).
A tudatosság lenne a megoldás, de ehhez elsősorban a szülők tudatosítása kellene.
A másik nehézség, hogy egy 13 év alatti gyerek nem önálló a jogérvényesítésben, tehát a szüleire szorul, viszont hátrány éri, ha a szülő nem érti vagy nem veszi komolyan ezt a veszélyt.
"A szülők felháborodnak, hogy egy cég követi a gyereküket, de ha valamelyik netszolgáltató piacra dob egy tracking alkalmazást (például egy karkötőt, ami adatot küld a szülőnek arról, hogy hol van a gyerek), azt nem gondolják problémásnak, miközben nagyon is az.
A gyerek-szülő kapcsolatban, akárcsak egy párkapcsolatban, a bizalom az alap, és azt kell fejleszteni. Akkor fel nem merülne a tracking igénye" - véli a szakember.
Hogyan követhetőek le a visszaélések, mit lehet tenni ellenük?
A felhasználó rá van szorulva arra, hogy bízzon a platformban, fogalmaz Somkutas. A felelőssége az, hogy a “de jó lenne kipróbálni az alkalmazást” vagy “de olyan régen rágja a fülemet a gyerek” impulzusok ne adjanak önfelmentést arra, hogy minden adatához, tevékenységéhez hozzáférést adjon a települő applikációnak. A józan ész tökéletesen működik a legtöbb esetben:
ha rajzprogramot telepítünk, akkor az vajon miért kérne hozzáférést telefonos híváslistánkhoz?
A visszaélések elkövetésének klasszikus módja ezért tipikusan a felhasználó megtévesztése abból a célból, hogy az minél több rendszerkomponenshez (képek, hozzáférések, telefonhívások stb.) adjon hozzáférést. Ez ellen automatizmusokkal csak részben lehet védekezni, száz százalékos biztonságot pedig nem nem ígér és nem is ígérhet, magyarázza a jogász.
Ha egy felhasználó gyanakszik, hogy egy app a neki adott jogosultságokkal visszaél, az egyes jogosultságot utólag ugyan visszavonhatja, de a tárolt adatok megsemmisítése már egyedi eljárást igényel,
az app eltávolításával nem oldódik meg a probléma.
Május 25-e után lehet kártérítési pert és bírság miatti eljárást is indítani, ha a gyerek adataival való visszaélést tapasztal a szülő, ebben a Nemzeti Adatvédelmi és Információszabadság Hatóság, azaz a NAIH az illetékes. A gyerek egyéb adatai (képmása, hangfelvétele, az általa készített videó, stb.) jogosulatlan felhasználása esetén a gyerek érdekében a szülő léphet fel.
Gyerekjogi szempontból fontos, hogy a megelőzés mindig jobb, olcsóbb és hatékonyabb, mint az eljárásindítás akkor, ha már megtörtént baj,
figyelmeztet Gyurkó Szilvia. Tanácsért és információért lehet annak a webes szolgáltatónak az anyagaihoz fordulni, akinél előfizetésünk van, mert törvény írja elő, hogy minden internetszolgáltatónak legyen biztonságos internethasználat anyaga.
Problémák a felhasználói oldalról
Sok gyerek használja appok tucatjait szülői felügyelet nélkül, az egyes jogosultság-kéréseket rutinból megadják és a szülők észre sem veszik. Eleve nem is tudnak arról, hogy egy appnak a gyerek jogosultságot adott, például a helymeghatározási szolgáltatás használatára,
mondja Lovastyik Ádám. "A másik probléma az, hogy ha netán tudja is a szülő és ő adta meg a jogot az appnak, ennek ellenére nincs teljesen tisztában azzal, hogy ez konkrétan mit jelent és mivel járhat."
Van azonban még valami, ami nem az appok egyes jogosultságában, hanem egy-egy nagyobb platform SSO (single sign-on) szolgáltatása mögötti adatkezelésben keresendő. "Például ha egy app lehetővé teszi, hogy a Facebook-profiljával bejelentkezzen a felhasználó, akkor egy Facebook-appnak ad jogosultságot, amely a Facebook-fiók adataihoz fér hozzá. Így akár posztolhat a felhasználó falára, kiolvashatja a felhasználó email-címét, ismerőseinek listáját. Ezt is jellemzően rutinból adják meg a felhasználók, pedig itt nagyon sok érzékeny adathoz is hozzá lehet férni, lásd Cambridge Analytica-botrány", szemlélteti Lovastyik.
Gyurkó Szilvia szerint a család szintjén fontos, hogy a gyerek legyen tisztában azzal, hogy
az "ingyenes" alkalmazások sem ingyenesek valójában, hanem sok esetben az adatainkkal "fizetünk értük", és hogy az adatunk érték.
"Beszéljük végig a gyerekkel, hogy miért vannak egyes alkalmazásokhoz korhatárok rendelve. Ha a korhatártilalom ellenére a gyerek regisztrálni akar egy platformra, gondoljuk végig, milyen biztonsági intézkedéseket tehetünk. Semmiképpen ne tiltsuk, beszéljünk róla, és utána is legyen utánkövetés a gyereknél - azaz beszéljünk vele a tapasztalatairól" - tanácsolja a gyermekjogász.
A felnőttek a saját adatbiztonságukkal kapcsolatban sem tudatosak, a gyerekek esetében pedig sokszor két oldalról is veszélyeztetik, megsértik az ő jogaikat. Egyrészt azzal, hogy ők maguk posztolnak olyanokat a gyerekről, amihez ő nem ad hozzájárulást, vagy úgy posztolnak, hogy azzal megsértik a gyerek személyiségi jogait (mert kiszolgáltatott helyzetben ábrázolják a gyereket, pl. sírva, félmeztelenül, fürdés közben, stb.).
A másik, hogy megsértik a gyerek magánélethez való jogát, azaz belemásznak a gyerek telefonjába, fiókjaiba, alkalmazásaiba vagy böngészőjük előzményeibe, miközben fontos gyerekjog a magánélethez való jog is. "A szülő akkor sem sértheti ezt meg, ha ő vette a telefont vagy a gyerek gépét.
Kommunikálni kell a gyerekkel, beszélgetni vele és nem nyomozni utána"
- összegzi véleményét.
Fotó: Farasis Energy
A CeraCharge apró akkumulátor, mégis százszoros energiasűrűséggel bír. Fotó: TDK
