Siden i fjor sommer har digi.no rettet et fokus på mobilapplikasjoner som, uten å melde fra til brukeren, samler på personopplysninger og utleverer dem til uvedkommende.
Les også:
- [28.01.2011] Datatilsynet glad for mobilbransjens utspill
- [20.12.2010] Mange populære mobilapps lekker brukerdata
- [30.09.2010] Android-apper lekker brukerdata
- [10.08.2010] Enkelt å legge spionvare i en «app»
- [30.07.2010] Avdekket spionvare til Android
- [23.06.2010] – Hver femte Android-app minner om spionvare
_logo.svg.png){kind=logo}
En undersøkelse som ble publisert rett før jul, viste at 56 av 101 populære applikasjoner og spill til iPhone og Android overfører et av mobilens unike ID-nummer til andre aktører, uten brukerens kjennskap eller godkjennelse.
TextPlus4, en populær iPhone-applikasjon for tekstmeldinger, sender telefonens ID-nummer til åtte ulike annonseselskaper. I tillegg sendes postnummer, brukerens alder og brukerens kjønn til to av disse selskapene.
Musikkapplikasjonen Pandora for iPhone og Android sender alder, kjønn, posisjon og ID-nummeret til flere annonsenettverk.
Utviklere forteller at annonsenettverk betaler to til fem ganger så mye for annonser rettet mot brukere som kan stedbestemmes.
Disse forholdene danner noe av bakgrunnen for at GSMA, mobilbransjens internasjonale sammenslutning, i går la fram en serie prinsipper for mobilt personvern, som de håper at alle aktører vil slutte seg til: Mobile Privacy Principles (pdf, 6 sider).
Prinsippene presenteres som et diskusjonsdokument, der hensiktet er å fremme et «brukersentrert personvernrammeverk for det mobile økosystemet».
I dokumentet beskriver GSMA hvordan mobilverdenen og Internett er i ferd med å smelte sammen, og at mobile apparater vil etter hvert bli individers fremste kontaktpunkt til alle slags nettjenester som «apps» og sosiale medier.
– En kritisk faktor for en bærekraftig utvikling av dette økosystemet er et robust og effektivt rammeverk for personvernet, skriver GSMA.
Det pekes på hvordan nett- og mobiloperatører må forholde seg til varierende personvernlover fra land til land. GSMA trekker den konklusjonen at bransjen selv må spille en «nøkkel rolle i å trekke opp konsistente personvernnormer og standarder basert på internasjonalt anerkjente prinsipper som på relevant vis opprettholder mobilbrukeres personvern».
Det slås fast at brukeren må stå i sentrum, og at alle andre aktører har et selvstendig ansvar for at brukeres personvern opprettholdes.
Personvern skal bygges inn i alle tjenester og applikasjoner etter prinsippet «privacy by design». Mobilbransjen skal holde seg til standarder og en forretningspraksis som sørger for at brukeren får innsikt i hva slags personopplysninger som samles og hvordan de brukes. Brukeren skal også sikres valgmuligheter og kontroll over personopplysninger.
Med tanke på applikasjoner understrekes det at GSMAs personvernprinsipper skal gjelde for «applikasjoner og tjenester som har tilgang til, samler på og ellers anvender personlig informasjon og andre private data om brukere som lagres på en mobiltelefon eller kan genereres av sluttbrukeres bruk av en mobilapplikasjon eller tjeneste». Det understrekes at brukere også skal vernes mot inntrenging, uautorisert kontakt og overvåking i sanntid. Det presiseres at leverandørene har ansvar for at mobilapplikasjoners standardinnstillinger overholder personvernprinsippene.
Forslaget presiserer i fire punkter nøyaktig hva «personlig informasjon» består av:
- Alle data som samles direkte fra en bruker, for eksempel gjennom grensesnittet til en applikasjon, som navn, adresse, kreditkortdetaljer og så videre
- Alle brukerdata som samles inn indirekte, som telefonnummer, e-postadresse, navn, kjønn, fødselsdato, lokasjonsdata, IP-adresse, IEMI, unik telefon-ID og så videre
- Alle data knyttet til en brukers atferd, som lokasjonsdata, bruk av tjenester og produkter, besøk av nettsteder og så videre
- All lokalt lagret brukergenerert data, som logger, meldinger, bilder, kontaktlister, notater, sikkerhetsdata og så videre
Prinsippene kan oppsummeres slik:
- Brukere skal sikres klar, lett tilgjengelig og korrekt informasjon rundt hvordan tjenester og applikasjoner forholder seg til personlig informasjon.
- Applikasjoners og tjenesters tilgang til og bruk av personlig informasjon skal begrenses til legitime forretningsformål i tråd med det brukeren ønsker, og skal ellers rette seg etter gjeldende lovverk.
- Oppsamlet personlig informasjon skal ikke oppbevares lenger enn nødvendig for å tilfredsstille legitime forretningsformål eller tilfredsstille juridiske krav. De skal så slettes eller anonymiseres.
- Brukere skal sikres informasjon om, og enkle redskap for å forvalte sine personopplysninger.
- Alle ansvarlige aktører, deriblant utviklere, operatører, tjenesteleverandører, annonsører og innholdsleverandører, har et selvstendig ansvar for å bidra til at personvernprinsippene overholdes.
Hvis GSMA får gjennomslag for dette, kan man vente at «apps» som TestPlus4 og Pandora trekkes fra markedet, og at både Apple og Google skjerper seg og innfører nye og strammere regler for personvernet.
