報告：Spotify、Trip Advisor等20款Android app偷偷將用戶資料傳給臉書

在用戶隱私上已經惡名昭彰的臉書可能又再添一筆罪名。隱私團體公佈研究一項研究顯示，包括Spotify、Trip Advisor、Skyscanner等知名App在未經用戶同意情況下，將用戶資料傳給了臉書。

一個名為隱私國際（Privacy International）的組織在2018年8月及12月分別針對34款下載次數從1千萬到5億不等的知名Android app進行分析，發現其中20款app透過臉書的SDK，將資料傳送給了臉書，像是Spotify、MyFitnessPal、Skyscanner、TripAdvisor、Kayak、Shazam等知名app，不論這些用戶本身有無臉書帳號，或是是否登入臉書。

一般這些app會在用戶開啟時就傳送app使用事件資訊，包括用戶用了哪個app、使用時間和用多久等到臉書SDK。如果用戶擁有多個app，即可讓臉書得以掌握上千萬用戶使用行為。

而如果再配合Google廣告ID (AAID)或蘋果的IDFA，即可讓廣告商整合不同app的用戶行為資料及上網行為以產生清楚的用戶樣貌，像是用戶喜好、使用app的時間、甚至個人健康或宗教信仰。例如穆斯林祈禱用app、經期app、或求職app、或知名的My Talking Tom，都可能曝露用戶的性別、宗教、就業狀態及父母。

其中有的app甚至提供相當詳細的資料，如知名旅遊比價程式 Kayak會傳送用戶搜尋航班、抵達／離開日期、城市、機場及機票號碼、艙等資訊。

最後，研究人員分析臉書的Cookies政策有選擇退出（opt-outs）的權利，提及沒有臉書帳號的用戶也可以控制這些cookies是否顯示廣告。但他們發現這些權利對資料是否傳給第三方沒有明顯影響。

今年5月底GDPR上路時，有開發商揭露臉書SDK在app 取得用戶同意前蒐集用戶資料，6月底臉書推出一項自願功能，允許這些資料蒐集行為延後到app取得用戶同意。報告指控，本功能是在歐盟隱私法GDPR（General Data Protection Regulation）上路後35天才推出，只在SDK 4.34版以後才有作用。

臉書於12月28日回覆研究人員聲稱，在此之前開發商就有權關閉資料傳送，「除非SDK啟動」，且6月後臉書也移除了這個SDK。研究人員推斷，在自願功能推出之前，開發商是不得不傳送資料給臉書的。

AndroidPolice報導，臉書對此表示該公司正在「進行多項變更」，包括開發一款名為「Clear History」的工具，以解決上述問題。而被點名的app除了Skycanner聲稱並不知此事，其他業者皆未回應。