Store IT-virksomheder høster data fra hundredtusinde af apps gennem tredjepartstrackere, viser ny undersøgelse foretaget af forskere på Oxford Universitet.
Forskerne har undersøgt 959.000 gratis apps fra den britiske og amerikanske Google Play Store.
Hele 88 procent af dem indeholder trackere fra Google - heriblandt 60 procent fra annonceleveringstjenesten DoubleClick - mens også trackere, der sender data til Facebook, Twitter, Verizon, Microsoft og Amazon er kodet ind i hundredtusinde apps.
Trackerne lader virksomheder kæde aktivitet på tværs af både apps, enheder og webtjenester til unikke brugere og derved skabe detaljerede profiler af dem.
»Disse profiler kan benyttes til flere formål, fra målrettet markedsføring til vurdering af kreditværdighed og målrettede politiske budskaber,« skriver undersøgelsens forfattere.
Profilering af børn kan være ulovlig
Fundene rejser også flere juridiske spørgsmål i forbindelse med GDPR, skriver undersøgelsens forfattere. Overvågningen viser sig at være størst på nyhedsapps samt apps rettet mod børn. Her stiller GDPR strengere krav til databehandlingen.
»Nogle af de praksisser, der formentlig er involveret - som profilering af børn uden forsøg på at skaffe samtykke fra forældrene - er muligvis direkte ulovlige,« skriver de.
Der er stor forskel på omfanget af overvågningen blandt de undersøgte apps. Mens 90,4 procent af de i alt 959.000 apps indeholder mindst én tredjepartstracker, benytter 17,9 procent mere end tyve. Medianen for antal forskellige tracker i hver app ligger på 10.
Forskerne har ikke undersøgt, hvilke oplysninger tredjeparterne indsamler. Mange af de involverede tracking-selskaber foretager dog som regel profilering af brugerne for at målrette markedsføring baseret på online-adfærd, skriver undersøgelsens forfattere.
Det kan være i strid med GDPR, hvis ikke der skaffes samtykke fra brugerne.
»Resultaterne antyder, at der er udfordringer forude for både tilsynsmyndigheder, der skal håndhæve loven og for virksomheder, som forsøger at leve op til den,« skriver forskerne.
Google kritiserer undersøgelse
Google kritiserer i en udtalelse til det amerikanske medie Business Insider undersøgelsen for at »miskarakterisere«, hvordan apps deler data i forbindelse med normale tjenester som rapportering om nedbrud og analytics.
»På tværs af Google og i Google Play har vi tydelige retningslinjer for, hvordan udviklere og tredjepartsapps må behandle data, og vi påkræver udviklere at være transparente og spørge om tilladelse fra brugerne. Hvis en app bryder retningslinjerne, tager vi aktion,« siger en talsmand fra Google til Business Insider.
I et modsvar medgiver undersøgelsens hovedforfatter Reuben Binns, at der findes tilfælde, hvor tredjepartstracking er berettiget i forbindelse med rapportering om nedbrud og analytics.
»Google tilbyder tjenester til begge formål. Deres analytics-værktøjer benyttes dog også ofte af udviklere til at afgøre effektiviteten af deres målrettede markedsføring,« siger han til Business Insider.
I selve undersøgelsen skriver forskerne ligeledes, at der er behov for at skelne mellem analytics-værktøjer og reklame-trackere, hvis man vil have et mere fyldestgørende billede.
»Uden yderligere fingranulerede distinktioner mellem sådanne formål, repræsenterer fundene ikke den fulde nuance og variation af tredjepartstracking og dets konsekvenser.«
App-brugere har få muligheder
Undersøgelsen er den hidtil klart største af sin slags. Lignende undersøgelser fokuserer nemlig typisk på websider, da dataindsamlingsdelen her har været lettere at automatisere for forskere.
App-markedet medfører dog både specifikke udfordringer og muligheder med hensyn til tracking, skriver undersøgelsens forfattere.
Udover tilsynsmyndighedernes håndhævelse af især GDPR, kigger de også på, hvad brugere selv kan gøre for at undgå tracking, og hvordan industrien regulerer sig selv.
Brugerne har tilsyneladende ikke mange andre muligheder end at afvise at give apptilladelser, når de bliver spurgt om det, hvis de vil undgå tracking gennem apps.
Mens plugins som Ghostery og Privacy Badger kan blokere for cookies og tredjepartstrackere i browsere, giver ingen smartphone-styresystemer brugerne lignende muligheder i forbindelse med apps.
Derimod har de to centrale aktører på smartphone-markedet, Google og Apple, rige muligheder for at regulere dataindsamlingen gennem det duopol som Google Play og App Store nyder.
Undersøgelsens forfattere skriver dog, at de to virksomheders egne historiske interesser i markedet for digital markedsføring, kan svække potentialet for strammere regulering fra den front.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
