Oxford-forskere blotlægger enorm tracking gennem apps: »Profilering kan være ulovlig«

31. oktober 2018 kl. 05:121
Oxford-forskere blotlægger enorm tracking gennem apps: »Profilering kan være ulovlig«
Illustration: PixieMe/Bigstock.
Over 90 procent af næsten en million undersøgte apps fra Google Play indeholder mindst én tredjepartstracker, viser ny undersøgelse fra Oxford Universitet. Undersøgelsen miskarakteriserer »almindelige funktionelle tjenester«, siger Google.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Store IT-virksomheder høster data fra hundredtusinde af apps gennem tredjepartstrackere, viser ny undersøgelse foretaget af forskere på Oxford Universitet.

Forskerne har undersøgt 959.000 gratis apps fra den britiske og amerikanske Google Play Store.

Hele 88 procent af dem indeholder trackere fra Google - heriblandt 60 procent fra annonceleveringstjenesten DoubleClick - mens også trackere, der sender data til Facebook, Twitter, Verizon, Microsoft og Amazon er kodet ind i hundredtusinde apps.

Trackerne lader virksomheder kæde aktivitet på tværs af både apps, enheder og webtjenester til unikke brugere og derved skabe detaljerede profiler af dem.

Artiklen fortsætter efter annoncen

»Disse profiler kan benyttes til flere formål, fra målrettet markedsføring til vurdering af kreditværdighed og målrettede politiske budskaber,« skriver undersøgelsens forfattere.

Profilering af børn kan være ulovlig

Fundene rejser også flere juridiske spørgsmål i forbindelse med GDPR, skriver undersøgelsens forfattere. Overvågningen viser sig at være størst på nyhedsapps samt apps rettet mod børn. Her stiller GDPR strengere krav til databehandlingen.

»Nogle af de praksisser, der formentlig er involveret - som profilering af børn uden forsøg på at skaffe samtykke fra forældrene - er muligvis direkte ulovlige,« skriver de.

Der er stor forskel på omfanget af overvågningen blandt de undersøgte apps. Mens 90,4 procent af de i alt 959.000 apps indeholder mindst én tredjepartstracker, benytter 17,9 procent mere end tyve. Medianen for antal forskellige tracker i hver app ligger på 10.

Artiklen fortsætter efter annoncen

Forskerne har ikke undersøgt, hvilke oplysninger tredjeparterne indsamler. Mange af de involverede tracking-selskaber foretager dog som regel profilering af brugerne for at målrette markedsføring baseret på online-adfærd, skriver undersøgelsens forfattere.

Det kan være i strid med GDPR, hvis ikke der skaffes samtykke fra brugerne.

»Resultaterne antyder, at der er udfordringer forude for både tilsynsmyndigheder, der skal håndhæve loven og for virksomheder, som forsøger at leve op til den,« skriver forskerne.

Google kritiserer undersøgelse

Google kritiserer i en udtalelse til det amerikanske medie Business Insider undersøgelsen for at »miskarakterisere«, hvordan apps deler data i forbindelse med normale tjenester som rapportering om nedbrud og analytics.

Artiklen fortsætter efter annoncen

»På tværs af Google og i Google Play har vi tydelige retningslinjer for, hvordan udviklere og tredjepartsapps må behandle data, og vi påkræver udviklere at være transparente og spørge om tilladelse fra brugerne. Hvis en app bryder retningslinjerne, tager vi aktion,« siger en talsmand fra Google til Business Insider.

I et modsvar medgiver undersøgelsens hovedforfatter Reuben Binns, at der findes tilfælde, hvor tredjepartstracking er berettiget i forbindelse med rapportering om nedbrud og analytics.

»Google tilbyder tjenester til begge formål. Deres analytics-værktøjer benyttes dog også ofte af udviklere til at afgøre effektiviteten af deres målrettede markedsføring,« siger han til Business Insider.

I selve undersøgelsen skriver forskerne ligeledes, at der er behov for at skelne mellem analytics-værktøjer og reklame-trackere, hvis man vil have et mere fyldestgørende billede.

»Uden yderligere fingranulerede distinktioner mellem sådanne formål, repræsenterer fundene ikke den fulde nuance og variation af tredjepartstracking og dets konsekvenser.«

App-brugere har få muligheder

Undersøgelsen er den hidtil klart største af sin slags. Lignende undersøgelser fokuserer nemlig typisk på websider, da dataindsamlingsdelen her har været lettere at automatisere for forskere.

App-markedet medfører dog både specifikke udfordringer og muligheder med hensyn til tracking, skriver undersøgelsens forfattere.

Udover tilsynsmyndighedernes håndhævelse af især GDPR, kigger de også på, hvad brugere selv kan gøre for at undgå tracking, og hvordan industrien regulerer sig selv.

Brugerne har tilsyneladende ikke mange andre muligheder end at afvise at give apptilladelser, når de bliver spurgt om det, hvis de vil undgå tracking gennem apps.

Mens plugins som Ghostery og Privacy Badger kan blokere for cookies og tredjepartstrackere i browsere, giver ingen smartphone-styresystemer brugerne lignende muligheder i forbindelse med apps.

Derimod har de to centrale aktører på smartphone-markedet, Google og Apple, rige muligheder for at regulere dataindsamlingen gennem det duopol som Google Play og App Store nyder.

Undersøgelsens forfattere skriver dog, at de to virksomheders egne historiske interesser i markedet for digital markedsføring, kan svække potentialet for strammere regulering fra den front.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
31. oktober 2018 kl. 07:31

Det må betyder, at en arbejdsgiver som pålægger sine medarbejdere, at benytte Android smartphones, har en stor opgave med at opfylde sin oplysningspligt overfor sine ansatte, samt med at beskytte både virksomhedens og medarbejdernes data. Er der noget reelt alternativ til fuld kontrol over mobile enheder gennem MDM og lukke for Google Play?