Dalam beberapa tahun berjalan, Path telah menggambarkan dirinya sebagai jaringan sosial yang berbeda. Menurut deskripsi Nilainya, “Jalur Anda harus bersifat pribadi secara default. Selamanya. Anda harus selalu mengontrol informasi dan pengalaman Anda.” Perasaan yang indah. Hanya saja, berdasarkan tindakan penegakan FTC, hal ini tidak bersifat pribadi secara default. Itu tidak istimewa selamanya. Pengguna tidak memiliki kendali atas informasi dan pengalaman mereka. Dan jangan lupakan dugaan pelanggaran Undang-Undang Perlindungan Privasi Daring Anak.
Selain laporan staf yang baru saja dirilis, Privasi Seluler Terungkap: Membangun Kepercayaan Melalui Transparansi, dan buku pegangan baru, Pengembang Aplikasi Seluler: Dimulai dengan Keamanan (lebih lanjut tentang itu di posting kami berikutnya), penyelesaian FTC dengan Path menawarkan banyak hal penghematan untuk industri aplikasi. Path – terutama tersedia bagi pengguna melalui aplikasi seluler – menyebut dirinya “jurnal cerdas yang membantu Anda berbagi kehidupan dengan orang yang Anda cintai.” Meskipun mungkin terlihat seperti Jack Handy dalam salah satu episode Saturday Night Live, pengguna dapat berbagi “pikiran” dan “momen” dengan jaringan terbatas hingga 150 orang. Mereka juga dapat berbagi hal-hal seperti foto, musik yang mereka dengarkan, dan bahkan lokasi mereka dengan lingkaran kecil teman-teman tersebut. (Kami mengatakan “kecil”, namun aplikasinya sendiri sudah populer, dengan lebih dari 2,5 juta unduhan dan pemasangan.)
Dalam versi 2.0 aplikasi Path untuk iOS, perusahaan telah menyertakan fitur “Tambah Teman” baru yang menawarkan tiga opsi kepada pengguna: “Temukan teman dari kontak Anda,” “Cari teman dari Facebook,” dan “Undang teman untuk bergabung dengan Path melalui surat “elektronik”. Atau SMS.” Namun terlepas dari opsi mana yang dipilih pengguna, Path secara otomatis mengumpulkan data pribadi dari kontak perangkat seluler pengguna – buku alamat mereka – dan menyimpannya di server Path. Apa yang dikumpulkan Path? Sejauh informasi tersedia, nama depan , nama depan, Keluarga, alamat, nomor telepon, alamat email, nama pengguna Facebook, nama pengguna Twitter, dan tanggal lahir setiap orang di buku alamat.
Menurut FTC, kejadian ini bukan hanya terjadi sekali saja. Informasi dari buku alamat dikumpulkan secara otomatis saat pengguna pertama kali meluncurkan Path 2.0, dan jika mereka keluar dari layanan, mereka akan masuk kembali setiap kali. Praktek ini berlanjut hingga 8 Februari 2012.
Pengaduan FTC menuduh bahwa apa yang Path katakan kepada orang-orang yang dilakukannya dengan informasi pribadi sangat kontras dengan apa yang terjadi di balik layar. Edisi No. 1 menantang pengoperasian fitur “Tambah Teman” perusahaan. Berdasarkan pengaduan tersebut, Path menyatakan bahwa informasi pribadi akan dikumpulkan dari kontak perangkat seluler pengguna hanya jika pengguna mengeklik “Tambahkan Teman” dan kemudian memilih opsi “Temukan teman dari kontak Anda”. Namun terlepas dari janji ini, Path secara otomatis mengumpulkan dan menyimpan data pribadi saat pertama kali pengguna meluncurkan aplikasi dan, jika logout, setiap kali mereka login kembali. FTC mengatakan hal itu membuat pernyataan Bath salah.
Edisi No. 2 menuduh bahwa Path juga membuat klaim palsu dalam kebijakan privasinya. Pengguna diberitahu bahwa Path hanya secara otomatis mengumpulkan data seperti alamat IP, sistem operasi, jenis browser, alamat situs rujukan, dan informasi aktivitas situs. Namun dengan secara otomatis mengumpulkan semua informasi tambahan dari buku alamat pengguna, Path berhasil menangkap lebih banyak lagi.
Bagaimana dengan klaim COPPA? Pengaduan tersebut menuduh bahwa sehubungan dengan pengoperasian aplikasi Path untuk iOS, aplikasi Path untuk Android, dan situs web path.com-nya, perusahaan (yang mengumpulkan tanggal lahir selama proses pendaftaran) sebenarnya mengetahui bahwa sekitar 3.000 pengguna adalah pengguna. di bawah usia 13 tahun. Hal ini dimulai dengan COPPA yang mengharuskan Path mendapatkan persetujuan orang tua sebelum mengumpulkan, menggunakan, atau mengungkapkan informasi tentang anak-anak mereka – sebuah komitmen yang tidak dipatuhi oleh Path. FTC mengatakan Path juga melanggar persyaratan bagi operator yang tercakup dalam COPPA untuk memposting kebijakan privasi yang jelas, dapat dimengerti, dan lengkap. Akibat dugaan pelanggaran COPPA oleh Path? Anak-anak di bawah 13 tahun dapat membuat buku harian, berbagi foto dan “pikiran”, serta membagikan lokasi persis mereka. FTC mengatakan masalah buku alamat Path 2.0 juga berdampak pada buku alamat anak-anak.
Untuk menyelesaikan kasus ini, Path akan membayar denda perdata sebesar $800.000 atas pelanggaran COPPA dan menghapus informasi yang dikumpulkan dari anak-anak di bawah 13 tahun. Selain itu, Perusahaan akan menghormati klaim yang Anda buat tentang cara Perusahaan menjaga privasi dan kerahasiaan informasi pribadi. Kabar baik bagi pengguna: Path telah menghapus informasi buku alamat yang dikumpulkannya selama periode FTC menyatakan bahwa praktik ilegal ini ada.
Empat poin penting yang dapat diambil perusahaan dari Leveling the Course:
- Pesan utamanya tidak mengejutkan: Hormati janji privasi Anda dan berhati-hatilah jika menyangkut informasi anak-anak. Yang sedikit berbeda adalah pesannya tersampaikan Attn: Pengembang Aplikasi Seluler Di bagian atas. Prinsip-prinsip perlindungan konsumen yang sudah mapan berlaku di semua bidang, termasuk perusahaan yang beroperasi di pasar telepon seluler.
- Pola pikir default seputar pengumpulan data adalah mengumpulkan sebanyak mungkin bila memungkinkan. Kami telah mengatakannya sebelumnya, tetapi pendekatan ini benar
Sangat mirip dengan abad ke-20 . Seperti yang diketahui oleh perusahaan cerdas, pendekatan yang lebih bijak – dan prinsip dasar “privasi berdasarkan desain” – adalah dengan mempertimbangkan kebutuhan Anda dan hanya meminta informasi yang Anda punya alasan sah untuk mengumpulkannya. Mengumpulkan data secara “adil” tidak lagi menjadi solusi bagi konsumen. - Hanya karena sebuah platform memberi Anda kekuatan teknologi untuk melakukan sesuatu, bukan berarti platform tersebut tepat bagi perusahaan atau pengguna Anda. Adalah suatu kesalahan untuk berasumsi bahwa orang lain – misalnya, penyedia sistem operasi seluler atau produsen perangkat – telah memikirkan implikasi privasi. Jika menyangkut aplikasi dan pengguna Anda, tanggung jawab berhenti di tangan Anda.
- COPPA tidak hanya untuk situs anak-anak. Ya, peraturan berlaku jika situs dan layanan online dirancang khusus untuk anak-anak di bawah 13 tahun, namun jangan terlalu cepat berasumsi bahwa Anda tidak dilindungi. Aturan tersebut juga membebankan tanggung jawab hukum pada operator yang mengetahui bahwa mereka mengumpulkan informasi pribadi dari anak-anak.
Bergabunglah dengan kami di Twitter mulai pukul 1:00 hingga 2:00 ET pada hari Jumat, 1 Februari 2013, untuk membicarakan status dan pelaporan trek. Dia mengikuti @FTC Kirim pertanyaan menggunakan hashtag #FTCpriv.
