بشأن كيفية جمعها لبيانات المستخدمين واستخدامها، خضعت شركات التكنولوجيا في السنوات الأخيرة لسياسة تدقيق ممنهجة، من بين هذه الشركات كانت قوقل، والتي قدّمت بدورها تحسينات على الخصوصية لمنتجاتها وخدماتها، ومع ذلك، يبدو أن جهودها لم تكن كافية، حيث كشفت ورقة بحثية جديدة أن تطبيقاتها الرسائل والهاتف كانت تجمع بيانات المستخدمين وترسلها إلى خوادمها دون إظهار أي إشعار أو أخذ موافقة منهم، مما قد ينتهك القانون العام لحماية البيانات (GDPR) الخاص بالاتحاد الأوروبي.
في هذا الشأن، يدعي "دوجلاس ليث" أستاذ علوم الكمبيوتر وصاحب الورقة البحثية في كتابه "What Data Do The Google Dialer and Messages Apps on Android Send to Google؟"بأن تطبيقات Google Messages and Dialer ترسل بيانات إلى خوادم الشركة دون أخذ موافقة صريحة من المستخدم، وبشكل أكثر تحديدًا، تجمع هذه التطبيقات معلومات حول اتصالات المستخدم، بما في ذلك تجزئة SHA256 للرسائل والطابع الزمني وأرقام الهواتف وسجلات المكالمات الواردة والصادرة ومدة المكالمة وطولها، وتتم مشاركة ذلك بعد ذلك مع خوادم قوقل باستخدام خدمة مسجل Clearcut لخدمات قوقل بلاي وخدمة Firebase Analytics، بحيث تساعد البيانات الشركة على ربط مرسل الرسالة والمستقبل في المكالمة.
وبينما تتم مشاركة قيمة 128 بت فقط من تجزئة الرسائل مع خادم قوقل، يعتقد ليث أنه بالنسبة للنصوص القصيرة، من الممكن عكس التجزئة للكشف عن محتواها، وقال ليث لصحيفة The Register "أخبرني الزملاء أنه نعم من حيث المبدأ، ومن المحتمل أن يكون هذا ممكنًا، وتتضمن التجزئة طابعًا زمنيًا لكل ساعة، لذا فإنها ستشمل إنشاء تجزئة لجميع مجموعات الطوابع الزمنية والرسائل المستهدفة ومقارنتها مع التجزئة المرصودة للمطابقة، وهو أمر ممكن بالنسبة للرسائل القصيرة نظرًا لقوة الحوسبة الحديثة."
كما وتبرز الورقة البحثية كذلك أن كلا تطبيقي قوقل لا تحتوي على سياسات خصوصية لشرح البيانات التي يتم جمعها، والتي تطلبها الشركة نفسها من التطبيقات الخارجية على متجر بلاي، حيث في الواقع، لا يتم توفير المعلومات للتنزيل حتى عندما يستخدم المرء Google Takeout لتصدير البيانات المرتبطة بحسابه، وتقوم خدمات قوقل بلاي بإبلاغ المستخدمين بأنه يتم جمع بعض البيانات للأمان ومنع الاحتيال، لكن لا يوجد تفسير حول سبب جمع محتوى الرسائل ومعلومات الاتصال بالضبط.
في غضون ذلك، يتم تثبيت تطبيق رسائل قوقل على ملايين أجهزة اندرويد حول العالم ، بما في ذلك سلسلة Samsung Galaxy S22، ولا يختلف الأمر مع تطبيق الهاتف حيث هو أيضًا تطبيق Dialer الافتراضي على الهواتف الذكية من الشركات المصنعة مثل Xiaomi و Realme و Motorola ، لذلك يعد هذا بمثابة إشراف رئيسي على الخصوصية، ووفقًا لسجل قوقل السابق، كان من الممكن أن تتجنب الشركة عمدًا الحصول على موافقة المستخدم وإخفاء المعلومات عن البيانات التي كانت تجمعها.
من جانبه، قدم "ليث" تفاصيل النتائج التي توصل إليها لأول مرة إلى قوقل في نوفمبر من العام الماضي، ولهذا السبب اضطر إلى تأخير نشر ورقته البحثية علنًا، وأوصى بإجراء التغييرات التالية على قوقل والتي بطبيعة الحال تم تنفيذ ستة منها بالفعل وهي كالتالي:
- يجب تحديد البيانات المحددة التي تم جمعها بواسطة تطبيقات Dialer و Messages ، والأغراض المحددة التي تم جمعها من أجلها بوضوح في سياسات خصوصية التطبيق.
- يجب أن تكون سياسة خصوصية التطبيق سهلة الوصول للمستخدمين وأن تكون قابلة للعرض دون الحاجة إلى الموافقة أولاً على البنود والشروط الأخرى مثل تلك الخاصة بمتصفح كروم، ويجب عدم تسجيل / تتبع عرض سياسة الخصوصية قبل الموافقة على جمع البيانات.
- تختلف البيانات المتعلقة بتفاعلات المستخدم مع أحد التطبيقات، على سبيل المثال، شاشات التطبيق التي تم عرضها والأزرار / الروابط التي تم النقر عليها والإجراءات مثل إرسال / تلقي / عرض الرسائل والمكالمات الهاتفية، عينيًا عن تتبع التطبيق مثل استخدام البطارية واستخدام الذاكرة والتشغيل البطيء لـ واجهة المستخدم، ويجب أن يكون المستخدم قادرًا على إلغاء الاشتراك في جمع بيانات التفاعل الخاصة به.
- يجب أن تكون بيانات تفاعل المستخدم التي تجمعها قوقل متاحة للمستخدمين على https://takeout.google.com/ بوابة قوقل (حيث يمكن بالفعل تنزيل البيانات الأخرى المرتبطة بحساب المستخدم على Google).
- عند جمع بيانات التطبيق عن بُعد مثل استخدام البطارية واستخدام الذاكرة وما إلى ذلك ، يجب تمييز البيانات فقط بمعرفات الجلسة قصيرة الأمد، وليس معرِّفات الجهاز / المستخدم الدائمة طويلة الأمد مثل معرف اندرويد.
- عند جمع البيانات ، يجب استخدام طوابع زمنية تقريبية فقط، على سبيل المثال ، تقريبها إلى أقرب ساعة، حيث النهج الحالي لاستخدام الطوابع الزمنية بدقة ملي ثانية يخاطر بأن يكون كاشفاً للغاية، والأفضل من ذلك، استخدام بيانات الرسم البياني بدلاً من بيانات الأحداث ذات الطابع الزمني، على سبيل المثال ، الرسم البياني لوقت اتصال الشبكة عند بدء مكالمة هاتفية يبدو كافياً لاكتشاف مشكلات الشبكة.
- إيقاف جمع رقم هاتف المرسل عبر مصدر سجل CARRIER_SERVICES عند تلقي رسالة ، وإيقاف جمع بطاقة SIM ICCID بواسطة رسائل قوقل عند إدخال بطاقة SIM، وإيقاف تجميع تجزئة نص الرسالة المرسلة / المستلمة.
- تقوم خدمة الكشف / الحماية الحالية للرسائل غير المرغوب فيها بنقل أرقام الهواتف الواردة إلى خوادم قوقل، ويجب استبدال ذلك بنهج يحافظ على الخصوصية بشكل أكبر، على سبيل المثال ، أسلوب مشابه لتلك المستخدمة بواسطة خدمة التصيد في التصفح الآمن من قوقل والتي لا تحمّل سوى تجزئات جزئية إلى خوادم الشركة.
- يجب احترام اختيار المستخدم لإلغاء الاشتراك في جمع بيانات "الاستخدام والتشخيص" احترامًا كاملاً ، أي يؤدي إلى وقف جميع عمليات جمع بيانات استخدام التطبيق والقياس عن بُعد.
بالمقابل، قدمت قوقل شرحًا لبعض ممارسات جمع البيانات الخاصة بها، وكرؤوس أقلام هي على النحو التالي:
- يتم جمع تجزئة الرسائل لاكتشاف أخطاء تسلسل الرسائل.
- تُستخدم بيانات ICCID لدعم Google Fi.
- يُستخدم تسجيل الأحداث في Firebase Analytics دون أن يشمل أرقام الهواتف .
في الختام، لا يوجد حتى الآن وضوح حول ما إذا كانت تطبيقات قوقل تلتزم باللائحة العامة لحماية البيانات وما إذا كانت تنتهكها حتى الآن، ومن المحتمل أن تخضع الشركة لتحقيق، وقد تصل الأمور لفرض غرامة إذا تبين أن التطبيقات تنتهك الخصوصية.
ليست هناك تعليقات:
إرسال تعليق