Szerző: Gálffy Csaba

2015. szeptember 29. 16:59:00

Fogatlan a Microsoft adatvédelmi nekifohászkodása

Tisztába tenné az adatgyűjtés fogalmát a Windows 10 kapcsán, ezért a Windows-üzletág vezetője, Terry Myerson hosszú levélben magyarázza, mire és hogyan használja az adatokat a cég. A homály azonban így is ijesztően nagy, a vállalat fontos mondatokat hagyott kimondatlanul.

Tisztába tenné a Windows 10 kapcsán bevezetett adatgyűjtési rendszerhez kapcsolódó tévhiteket a Microsoft, a cég kommunikációja azonban több kérdést is megválaszolatlanul hagy. A vállalat képviseletében Terry Myerson ugyan elmagyarázza, hogy miért van szükség a kézírás begyűjtésére (a stylus pontosabb digitalizálásához) vagy a telemetriára (a hibás meghajtóprogramok javításához), a cég azonban nem vállal önkorlátozást szinte semmilyen területen.

Telemetria - letilthatatlanul

Biztonsági és megbízhatósági adatok - ez számít a hagyományos telemetriai adatoknak. A cég folyamatosan figyeli a rendszer működését és a felhasználói tevékenységet, az ezzel kapcsolatos információkat pedig folyamatosan feltölti a Microsoft szervereire. Az elküldött adatok között megtalálható az eszköz egyedi azonosítója, az eszköz típusa és a hibát leíró adatok. Jellemzően ezeket a telemetriai információkat használja a Microsoft például az egyes driverek stabilitásának ellenőrzésére, de a saját szoftverek gördülő rajtjánál is erre figyelnek a cég üzemeltetői és azonnal leállítják a frissítést, ha problémát észlelnek.

A telemetriai adatok ugyanakkor a számítógép általános használati adatait is gyűjtik, kezdve attól, hogy hányszor nyomja meg valaki az Alt-Tab kombinációt, vagy hányszor és milyen gyakran használja a beépített Mail alkalmazást. Fontos megjegyezni, hogy ezeket az adatokat a Microsoft anonimizálva gyűjti, személyes adatok, beazonosításra közvetlenül alkalmas információk ebben nincsenek.

A Windows 10-ben ezen telemetriai adatok gyűjtése automatikus és letilthatatlan. Csak a nagyvállalati ügyfelek számára élesedik majd később egy frissítés, ami kikapcsolhatóvá teszi ezt, de a Microsoft nekik sem javasolja a letiltást. A konzumer verziót használók számára a telemetria három fokozatban állítható, de a telepített alkalmazások körét, a hardver képességeit és a hibajelentéseket a legalsó fokozatban is elküldi a rendszer.

A problémát itt az jelenti, hogy a vállalat nem vállalja kimondva, hogy ezeket az adatokat kizárólagosan a felsorolt célokra használná fel, így a szövegben semmi nem utal arra, hogy a hibadiagnosztika mellett ne használhatná ezeket az adatokat bármilyen más tevékenységre.

Személyre szabott szolgáltatások

Egy másik adatgyűjtés vonatkozik a személyre szabott szolgáltatásokra. Értelemszerűen ahhoz, hogy a Microsoft egyedi tartalmat tudjon kínálni a Cortana, a Store és sok más szolgáltatás felületén, információkra van szüksége. Ezek köre egészen messzire nyúlik, így a gyakran használt szavaktól (az autocorrect funkcióhoz), a kézíráson át (annak digitalizációjához) a kedvenc focicsapatig rengeteg információt gyűjt a cég. Myerson szerint ezek körét a felhasználó manuálisan szabályozhatja, így ezeket le is tilthatja. Arról a levél nem tesz említést, hogy ezekből az információkból pontosan mit használ fel reklámok célzására - a kontextusból arra következtetnénk, hogy semmit sem, de akkor miért nem mondja ki a szöveg?

Ide tartozik egyébként a hirdetési azonosító, amelyet a display hirdetések kiszolgálásához használ fel a Microsoft, a levél azonban egyáltalán nem tesz róla említést, csak a részletesebb leírás a cég oldalán. Ez azonosítja nem csak az eszközt, hanem a bejelentkezett felhasználót is, ennek függvényében jelennek meg a változatos célzott hirdetések például a Pasziánszon belül. Ehhez az azonosítóhoz "tapadnak" ugyanis az összegyűjtött információk, amelyeket célzásra használhat a hirdetéskiszolgáló.

Mi célpont és mi nem?

Tény, a Microsoft elképesztően sok adatot gyűjt össze. A Cortana keresésektől az Internet Explorerben és Edge-ben megnyitott oldalak teljes listáján át a Windows Hello biometrikus azonosításáig, az appok használati adataitól a billentyűzetes és stylusos szövegbevitelig, a hardveres és szoftveres hibák leltáráig, a lokációs adatokig. Az adatgyűjtés önmagában még nem probléma, az józan ésszel indokolható illetve az esetek nagy részében letiltható.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A vállalat azonban adós marad annak tisztázásával, hogy ezeket az adatcsoportokat milyen vonalak mentén osztályozza és ezekre egyenként milyen adatvédelmi vállalásokat tesz. A diagnosztikai adatokat ugyanis (értelemszerűen) megosztja a cég harmadik féllel (például a hibás meghajtót fejlesztő partnerekkel), más adatokat viszont soha nem ad ki. Egyes adatokat monetizál a hirdetési rendszeren keresztül, másokat sosem használ fel a felhasználó célzásához. Ahhoz, hogy a cég visszanyerje a felhasználók bizalmát, abszolút, explicit vállalásokat kellene tennie erre vonatkozóan - ezek a kimondott sarokkövek azonban az új nyílt levélből is hiányoznak, a homály ezzel így nem oszlik.

A vállalások egyébként a cég júliusban közzétett egységesített adatkezelési bibliájából is nagyrészt hiányoznak. A weboldal hosszan sorolja a cég által összegyűjtött adatokat, arra azonban semmilyen próbálkozást nem tesz, hogy a cég mozgásterét korlátozza, kimondottan kizárjon bizonyos felhasználási forgatókönyveket. Ennek megfelelően az indokolt és logikus felhasználáson túl a Microsoft fenntartja magának a jogot arra, hogy bármire felhasználja az összegyűjtött adatokat.

Egyetlen kivételt találtunk csak. Szokás szerint Myerson nem hagyja ki a lehetőséget, hogy belerúgjon a Google-ba, a levél kihangsúlyozza, hogy nincs olyan beállítás, amely alapján a Microsoft szoftverei (Windows 10-en, más platformon vagy felhőben) a felhasználó emailjeinek, kommunikációjának vagy állományainak tartalmát vizsgálná és annak alapján célozna hirdetéseket.

Az Apple ezen a téren előbbre a jár, a cég komolyan vehető vállalásokat tesz. A cég szintén most publikált adatvédelmi aloldala szerint a Siri és a diktálás során a szerverre küldött adatokat egyáltalán nem köti a felhasználó azonosítójához, csak egy generált általános azonosítóhoz, amely igény szerint újragenerálható, ilyenkor a tárolt adatokat az Apple automatikusan törli. Ezekben a vállalásokban is lehet kivetnivalót találni, az azonban fontos precedens, hogy a cég kimondottan visszafogja saját adatkezelési szabadságát és bizonyos adatok felhasználását korlátozza.

A Microsoft adatvédelmi szabályzata kiemeli, hogy az általa őrzött adatokat (emailek tartalmát, privát kommunikációt, privát állományokat) a törvényi előírásoknak megfelelően a cég kiadja a hatóságoknak, amennyiben azt a megfelelő jogi procedúrának megfelelően kérik ki a kormányzati ügynökségek és egyéb szervek - ez általánosnak számít, a törvények szerint a cég nem is tehet mást, mozgástere ebben nincs. A cég azonban azt is kiköti, hogy a saját szellemi tulajdonának védelmében a felhasználót feljelenti a hatóságoknál, ha tudomására jut, hogy az illető lopott szellemi vagy fizikai tulajdonnal kereskedik.

a címlapról