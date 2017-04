Kiderült, hogy az emailüzenetekben tárolt információk eladásával foglalkozik a Slice Intelligence tulajdonában lévő Unroll.me, amely a nyilvánosság felé a postafiókok egyszerűbb karbantartásával hirdeti a szolgáltatást. A rendszer a hírleveleket képes összefogni napi vagy heti összesítőbe, illetve gyors leiratkozást is biztosít az egyes hírforrásokról, így ígérete szerint csökkenti a levélterhelést. A fenti szolgáltatás nyújtásához az Unroll.me hozzáférést kér a felhasználó teljes levelezéséhez, azért, hogy a leveleket egyenként szelektálhassa és az összesítőket elkészíthesse. A szolgáltatás használata ingyenes abban az értelemben, hogy nem kell érte fizetni, de valójában a felhasználók a személyes információikkal fizetnek érte, amelyet a cég olyan nagyvállalatoknak ad el, mint például az Uber - írja a Daring Fireball blog.

A botrány a The New York Times cikke alapján pattant ki, amelyből kiderült, hogy az Uber az Unroll.me szolgáltatást használja versenytársa, a Lyft forgalmának a követésére. A rendszert működtető Slice Intelligence ugyanis a beérkező emailekből kigyűjti a kifizetési nyugtákat, majd az ebből kinyert, anonimizált adatokat továbbadja az Ubernek. A fuvarozócég pedig arra használta fel az adatokat, hogy szinte valós időben megfigyelje a Lyft rendeléseinek számának növekedését-csökkenését, és akár a kivonatok alapján a bevételeik alakulását.

A Slice Intelligence egyáltalán nem tagadja, hogy az emailekből nyert adatokat értékesíti más cégek számára. Azt viszont hangsúlyozta a The New York Times-nak adott válaszban, hogy az adatok anonimizáltak, tehát nem tartalmazzák a vásárló nevét. Azt nem közölte a cég, hogy kinek milyen típusú szolgáltatást nyújt, csak annyit erősített meg, hogy "az Uber és a Lyft utazási nyugtáiból nyert anonimizált adatokat" eladja. Ebből akár még az is következhet, hogy az Uber adatait a Lyft is megveszi, továbbá rajtuk kívül más cégek is. Az viszont biztos, hogy az Unroll.me szolgáltatással a felhasználók járnak legrosszabbul, akiknek adataival a cég kereskedik néhány egyszerű emailösszesítő funkcióért cserébe.

Már a cikk megjelenését követően pár órával Jojo Hedaya, az Unroll.me társalapítója és vezérigazgatója egy blogbejegyzést jelentetett meg, amelyben sajnálatát fejezi ki, hogy a felhasználók nem olvasták el részletesen az adatkezelési nyilatkozatot, ezért most meglepődtek a szolgáltatás lényegén.

"A felhasználónk a cégünk és a szolgáltatásunk szíve és lelke. Szívszorító volt látni, hogy néhány felhasználónkat feldúlta, mikor megtudta hogyan monetizáljuk az ingyenes szolgáltatásunkat. Miközben mi próbálunk mindent megtenni, hogy az üzleti modellünk nyílt legyen, a legutóbbi fogyasztói visszajelzések szerint nem voltunk eléggé egyértelműek. A szolgáltatási szerződés feltételeivel és az angol nyelvű adatvédelmi szabályzattal a felhasználóink egyetértettek, mikor nyilatkoztak arról, hogy elolvasták és megértették azokat, de valójában sokan közülük - magamat is beleértve - nem szán elég időt ezeknek az átnézésére." - írja Hedaya.

A tevékenység változtatása helyett a gyakori kérdések kibővítését és az alkalmazásban megjelenő információk egyértelműsítését helyezi kilátásba a cég vezérigazgatója - az üzleti modellen esze ágában sincs változtatni. Emellett pedig felhívja a figyelmet a blogbejegyzéseikre, amelyek a szolgáltatás alapján készültek, például egyes márkák vagy ruhatípusok melyik online webáruházban fogytak jobban az adott időszakban, milyen a generációk szerinti megoszlása az online kereskedelemben, hogyan alakult a streaming szolgáltatások piaca vagy éppen hogyan alakulnak a Super Mario Run letöltések - mindezt az információt pedig az Unroll.me közvetlenül az emailben érkező vásárlási értesítésekből nyeri ki.

Az Unroll.me közleménye szerint ilyen jellegű információkat nyertek ki az üzenetekből

Valóban szerepel az adatkezelési szabályzatban egy "gyűjtés és nem-személyes információk felhasználása" rész, amelyben a cég közli, hogy "gyűjthetünk, használhatunk, szállíthatunk, eladhatunk és feltárhatunk nem-személyes információkat bármilyen okból. Például, ha a szolgáltatásunkat használod, gyűjthetünk adatokat a kereskedelmi elektronikus üzeneteidről, tranzakciós vagy kapcsolati üzeneteidről". Egy Hacker Newson megjelent bejegyzés szerint ehhez a cég minden egyes emailről egy másolatot tárolt és ezeket gyenge biztonság mellett az Amazon S3 szolgáltatásában tárolta - mindez három évvel ezelőtt történt, mikor az Unroll.me a szolgáltatás eladását tervezte, amely mellett végül a Slice Intelligence döntött, feltételezhetően ezek miatt az értékes információk miatt.

Annak ellenére, hogy az Egyesült Államokban is felháborodást váltott ki a cég gyakorlata, ott ez nem számít illegális tevékenységnek, mivel a felhasználási feltételekben és az adatkezelési nyilatkozatban is szerepelt a tevékenység. Azonban az Európai Unión belül szigorúbb feltételek vonatkoznak az tagállamok polgárainak adatkezelésével kapcsolatban. Amennyiben egy cég európai uniós állampolgárok adatait tárolja, akkor vállalnia kell a Privacy Shieldben foglaltakat, az azonban kérdéseket vett fel, hogy a Slice Intelligence és az Unroll.me valóban eléggé körültekintően kezelte-e az európaiak adatait.