示意圖,與新聞事件無關。

在用戶隱私上已經惡名昭彰的臉書可能又再添一筆罪名。隱私團體公佈研究一項研究顯示,包括Spotify、Trip Advisor、Skyscanner等知名App在未經用戶同意情況下,將用戶資料傳給了臉書。

一個名為隱私國際(Privacy International)的組織在2018年8月及12月分別針對34款下載次數從1千萬到5億不等的知名Android app進行分析,發現其中20款app透過臉書的SDK,將資料傳送給了臉書,像是Spotify、MyFitnessPal、Skyscanner、TripAdvisor、Kayak、Shazam等知名app,不論這些用戶本身有無臉書帳號,或是是否登入臉書。

一般這些app會在用戶開啟時就傳送app使用事件資訊,包括用戶用了哪個app、使用時間和用多久等到臉書SDK。如果用戶擁有多個app,即可讓臉書得以掌握上千萬用戶使用行為。

而如果再配合Google廣告ID (AAID)或蘋果的IDFA,即可讓廣告商整合不同app的用戶行為資料及上網行為以產生清楚的用戶樣貌,像是用戶喜好、使用app的時間、甚至個人健康或宗教信仰。例如穆斯林祈禱用app、經期app、或求職app、或知名的My Talking Tom,都可能曝露用戶的性別、宗教、就業狀態及父母。

其中有的app甚至提供相當詳細的資料,如知名旅遊比價程式 Kayak會傳送用戶搜尋航班、抵達/離開日期、城市、機場及機票號碼、艙等資訊。

最後,研究人員分析臉書的Cookies政策有選擇退出(opt-outs)的權利,提及沒有臉書帳號的用戶也可以控制這些cookies是否顯示廣告。但他們發現這些權利對資料是否傳給第三方沒有明顯影響。

今年5月底GDPR上路時,有開發商揭露臉書SDK在app 取得用戶同意前蒐集用戶資料,6月底臉書推出一項自願功能,允許這些資料蒐集行為延後到app取得用戶同意。報告指控,本功能是在歐盟隱私法GDPR(General Data Protection Regulation)上路後35天才推出,只在SDK 4.34版以後才有作用。

臉書於12月28日回覆研究人員聲稱,在此之前開發商就有權關閉資料傳送,「除非SDK啟動」,且6月後臉書也移除了這個SDK。研究人員推斷,在自願功能推出之前,開發商是不得不傳送資料給臉書的。

AndroidPolice報導,臉書對此表示該公司正在「進行多項變更」,包括開發一款名為「Clear History」的工具,以解決上述問題。而被點名的app除了Skycanner聲稱並不知此事,其他業者皆未回應。


Advertisement

更多 iThome相關內容