Szerző: Gálffy Csaba

2015. szeptember 29. 16:59

Fogatlan a Microsoft adatvédelmi nekifohászkodása

Tisztába tenné az adatgyűjtés fogalmát a Windows 10 kapcsán, ezért a Windows-üzletág vezetője, Terry Myerson hosszú levélben magyarázza, mire és hogyan használja az adatokat a cég. A homály azonban így is ijesztően nagy, a vállalat fontos mondatokat hagyott kimondatlanul.

Tisztába tenné a Windows 10 kapcsán bevezetett adatgyűjtési rendszerhez kapcsolódó tévhiteket a Microsoft, a cég kommunikációja azonban több kérdést is megválaszolatlanul hagy. A vállalat képviseletében Terry Myerson ugyan elmagyarázza, hogy miért van szükség a kézírás begyűjtésére (a stylus pontosabb digitalizálásához) vagy a telemetriára (a hibás meghajtóprogramok javításához), a cég azonban nem vállal önkorlátozást szinte semmilyen területen.

Telemetria - letilthatatlanul

Biztonsági és megbízhatósági adatok - ez számít a hagyományos telemetriai adatoknak. A cég folyamatosan figyeli a rendszer működését és a felhasználói tevékenységet, az ezzel kapcsolatos információkat pedig folyamatosan feltölti a Microsoft szervereire. Az elküldött adatok között megtalálható az eszköz egyedi azonosítója, az eszköz típusa és a hibát leíró adatok. Jellemzően ezeket a telemetriai információkat használja a Microsoft például az egyes driverek stabilitásának ellenőrzésére, de a saját szoftverek gördülő rajtjánál is erre figyelnek a cég üzemeltetői és azonnal leállítják a frissítést, ha problémát észlelnek.

A telemetriai adatok ugyanakkor a számítógép általános használati adatait is gyűjtik, kezdve attól, hogy hányszor nyomja meg valaki az Alt-Tab kombinációt, vagy hányszor és milyen gyakran használja a beépített Mail alkalmazást. Fontos megjegyezni, hogy ezeket az adatokat a Microsoft anonimizálva gyűjti, személyes adatok, beazonosításra közvetlenül alkalmas információk ebben nincsenek.

A Windows 10-ben ezen telemetriai adatok gyűjtése automatikus és letilthatatlan. Csak a nagyvállalati ügyfelek számára élesedik majd később egy frissítés, ami kikapcsolhatóvá teszi ezt, de a Microsoft nekik sem javasolja a letiltást. A konzumer verziót használók számára a telemetria három fokozatban állítható, de a telepített alkalmazások körét, a hardver képességeit és a hibajelentéseket a legalsó fokozatban is elküldi a rendszer.

A problémát itt az jelenti, hogy a vállalat nem vállalja kimondva, hogy ezeket az adatokat kizárólagosan a felsorolt célokra használná fel, így a szövegben semmi nem utal arra, hogy a hibadiagnosztika mellett ne használhatná ezeket az adatokat bármilyen más tevékenységre.

Személyre szabott szolgáltatások

Egy másik adatgyűjtés vonatkozik a személyre szabott szolgáltatásokra. Értelemszerűen ahhoz, hogy a Microsoft egyedi tartalmat tudjon kínálni a Cortana, a Store és sok más szolgáltatás felületén, információkra van szüksége. Ezek köre egészen messzire nyúlik, így a gyakran használt szavaktól (az autocorrect funkcióhoz), a kézíráson át (annak digitalizációjához) a kedvenc focicsapatig rengeteg információt gyűjt a cég. Myerson szerint ezek körét a felhasználó manuálisan szabályozhatja, így ezeket le is tilthatja. Arról a levél nem tesz említést, hogy ezekből az információkból pontosan mit használ fel reklámok célzására - a kontextusból arra következtetnénk, hogy semmit sem, de akkor miért nem mondja ki a szöveg?

Ide tartozik egyébként a hirdetési azonosító, amelyet a display hirdetések kiszolgálásához használ fel a Microsoft, a levél azonban egyáltalán nem tesz róla említést, csak a részletesebb leírás a cég oldalán. Ez azonosítja nem csak az eszközt, hanem a bejelentkezett felhasználót is, ennek függvényében jelennek meg a változatos célzott hirdetések például a Pasziánszon belül. Ehhez az azonosítóhoz "tapadnak" ugyanis az összegyűjtött információk, amelyeket célzásra használhat a hirdetéskiszolgáló.

Mi célpont és mi nem?

Tény, a Microsoft elképesztően sok adatot gyűjt össze. A Cortana keresésektől az Internet Explorerben és Edge-ben megnyitott oldalak teljes listáján át a Windows Hello biometrikus azonosításáig, az appok használati adataitól a billentyűzetes és stylusos szövegbevitelig, a hardveres és szoftveres hibák leltáráig, a lokációs adatokig. Az adatgyűjtés önmagában még nem probléma, az józan ésszel indokolható illetve az esetek nagy részében letiltható.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A vállalat azonban adós marad annak tisztázásával, hogy ezeket az adatcsoportokat milyen vonalak mentén osztályozza és ezekre egyenként milyen adatvédelmi vállalásokat tesz. A diagnosztikai adatokat ugyanis (értelemszerűen) megosztja a cég harmadik féllel (például a hibás meghajtót fejlesztő partnerekkel), más adatokat viszont soha nem ad ki. Egyes adatokat monetizál a hirdetési rendszeren keresztül, másokat sosem használ fel a felhasználó célzásához. Ahhoz, hogy a cég visszanyerje a felhasználók bizalmát, abszolút, explicit vállalásokat kellene tennie erre vonatkozóan - ezek a kimondott sarokkövek azonban az új nyílt levélből is hiányoznak, a homály ezzel így nem oszlik.

A vállalások egyébként a cég júliusban közzétett egységesített adatkezelési bibliájából is nagyrészt hiányoznak. A weboldal hosszan sorolja a cég által összegyűjtött adatokat, arra azonban semmilyen próbálkozást nem tesz, hogy a cég mozgásterét korlátozza, kimondottan kizárjon bizonyos felhasználási forgatókönyveket. Ennek megfelelően az indokolt és logikus felhasználáson túl a Microsoft fenntartja magának a jogot arra, hogy bármire felhasználja az összegyűjtött adatokat.

Egyetlen kivételt találtunk csak. Szokás szerint Myerson nem hagyja ki a lehetőséget, hogy belerúgjon a Google-ba, a levél kihangsúlyozza, hogy nincs olyan beállítás, amely alapján a Microsoft szoftverei (Windows 10-en, más platformon vagy felhőben) a felhasználó emailjeinek, kommunikációjának vagy állományainak tartalmát vizsgálná és annak alapján célozna hirdetéseket.

Az Apple ezen a téren előbbre a jár, a cég komolyan vehető vállalásokat tesz. A cég szintén most publikált adatvédelmi aloldala szerint a Siri és a diktálás során a szerverre küldött adatokat egyáltalán nem köti a felhasználó azonosítójához, csak egy generált általános azonosítóhoz, amely igény szerint újragenerálható, ilyenkor a tárolt adatokat az Apple automatikusan törli. Ezekben a vállalásokban is lehet kivetnivalót találni, az azonban fontos precedens, hogy a cég kimondottan visszafogja saját adatkezelési szabadságát és bizonyos adatok felhasználását korlátozza.

A Microsoft adatvédelmi szabályzata kiemeli, hogy az általa őrzött adatokat (emailek tartalmát, privát kommunikációt, privát állományokat) a törvényi előírásoknak megfelelően a cég kiadja a hatóságoknak, amennyiben azt a megfelelő jogi procedúrának megfelelően kérik ki a kormányzati ügynökségek és egyéb szervek - ez általánosnak számít, a törvények szerint a cég nem is tehet mást, mozgástere ebben nincs. A cég azonban azt is kiköti, hogy a saját szellemi tulajdonának védelmében a felhasználót feljelenti a hatóságoknál, ha tudomására jut, hogy az illető lopott szellemi vagy fizikai tulajdonnal kereskedik.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról